Attacco a PVLAN (private VLAN).
Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
#protezionedelleInformazioni #sicurezzadelleinformazioni
Le tecnologie VLAN (Virtual LAN) sono la separazione logica dello switch. I principali obiettivi di utilizzo sono la delimitazione del traffico per la sicurezza e la riduzione del traffico in un singolo segmento di rete.
Con questo attacco, un utente malintenzionato può accedere a un dispositivo PVLAN adiacente tramite un dispositivo L3 (router).
Nella tecnologia PVLAN, a differenza delle VLAN, le porte possono essere in tre modalità: isolate, promiscuus, community. Isolated-le porte non possono trasferire dati nella loro VLAN tra i client. I dati possono essere trasferiti solo tra le porte Isolated e Promiscuous.
Le porte promiscue sono porte PVLAN a cui è possibile trasferire dati da tutte le porte Isolated e Community, proprio come in una VLAN convenzionale.
Le Community sono gruppi di porte tra i cui membri è possibile trasferire i dati VLAN alle VLAN.
Se un dispositivo Layer 3 (come un router) è disponibile per un attaccante, può stabilire una comunicazione tra i client che si trovano nello stesso PVLAN tra le porte isolated. Per implementare questo attacco, l'utente può falsificare un pacchetto in cui indicherà nell'indirizzo IP di destinazione il dispositivo di cui ha bisogno, che si trova su un'altra porta isolata, la fonte rimarrà invariata, ma come indirizzo MAC di destinazione indicherà l'indirizzo MAC del dispositivo L3. Questo dispositivo, dopo aver ricevuto il pacchetto, lo spedirà all'indirizzo specificato. La parte ricevente può fare lo stesso e quindi garantire il trasferimento dei dati tra le porte isolate.
Per prevenire questo tipo di attacco, è necessario creare uno speciale Acess List sul dispositivo L3, in cui non è consentito il trasferimento diretto dei dati tra un segmento di rete.
router# conf t
router(config)# ip access-list extended vlan
router(config-ext-nacl)# deny ip 10.0.0.0 0.0.0.255
router(config-ext-nacl)# permit any any
router(config-ext-nacl)# exit
router(config)# int f0/1
router(config-if)# ip access-group pvlan in
I passaggi forniti in questo esempio devono essere eseguiti su un dispositivo router L3. È stato creato un elenco di controllo di accesso chiamato PVLAN che specifica che dalla rete 10.0.0.0/24 è vietato trasmettere dati a 10.0.0.0/24, tutto il resto è consentito. E questo elenco di accesso è stato collegato all'interfaccia f0/1 dall'ultimo comando.
