VLAN hopping
Другой тип атаки сети VLAN — это атака с двойным тегированием (или с двойной инкапсуляцией). Данный вид атаки основан на использовании принципов работы аппаратного обеспечения на большинстве коммутаторов. Большинство коммутаторов выполняют лишь один уровень деинкапсуляции 802.1Q, что позволяет злоумышленнику вставлять в кадр скрытую метку 802.1Q. Метка позволяет пересылать кадр в сеть VLAN, которая не указана первоначальной меткой 802.1Q.
Важное свойство атаки с двойной инкапсуляцией заключается в том, что она действует, даже если транковые порты отключены, поскольку обычно узел отправляет кадр в сегменте, который не является транковым каналом. Атака VLAN hopping с двойным тегированием происходит в три шага: 1. Злоумышленник отправляет на коммутатор кадр с двойным тегированием 802.1Q. Внешний заголовок содержит метку сети VLAN злоумышленника, которая совпадает с native VLAN транкового порта. Предполагается, что коммутатор обрабатывает полученный от злоумышленника кадр, будто он находится на транковом порте или порте с голосовой VLAN (коммутатор не должен получать тегированный кадр Ethernet на порте доступа). В качестве примера представьте, что сетью native VLAN является VLAN 10. Внутренний тег — это VLAN, подверженная атаке. В данном случае — VLAN 20.
2. Кадр прибывает на коммутатор, который проверяет первые 4 байта тега 802.1Q. Коммутатор видит, что кадр предназначен для VLAN 10, которая является сетью native VLAN. Удалив метку VLAN 10, коммутатор пересылает пакет из всех портов сети VLAN 10. На транковом порте удаляется метка сети VLAN 10, но пакет не тегируется заново, поскольку он является частью native VLAN. В это время метка сети VLAN 20 по-прежнему нетронута и не проверяется первым коммутатором.
3. Второй коммутатор проверяет только внутренний тег 802.1Q, отправленный злоумышленником, и видит, что кадр предназначен для сети VLAN 20, являющейся целью злоумышленника. Второй коммутатор отправляет кадр на атакуемый порт или наполняет его лавинной рассылкой в зависимости от того, есть ли в таблице МАС-адресов запись для атакуемого узла. Этот вид атаки является однонаправленным и работает, только если злоумышленник подключён к порту, находящимся в той же VLAN, что и сеть native VLAN транкового порта. Предотвратить такую атаку не так легко, как остановить обычные атаки VLAN hopping. Лучший способ снижения вреда от атак с двойным тегированием — удостовериться, что сеть native VLAN транковых портов отличается от VLAN любых пользовательских портов. Согласно практической рекомендации по обеспечению безопасности, рекомендуется использовать фиксированную VLAN, которая отличается от всех пользовательских VLAN в коммутируемой сети, в качестве сети native VLAN для всех транковых каналов 802.1Q.
Один из типов атаки VLAN hopping, целью которой является получение несанкционированного доступа к виртуальной локальной сети.
Злоумышленник отправляет на доступный ему порт пакет данных, содержащий две метки VLAN, одна из которых принадлежит доступному для него сегменту, а другая указывает на закрытую целевую сеть.
Первый маршрутизатор, на который поступает пакет, проверяет и удаляет тег VLAN злоумышленника, и данные передаются на второй свитч как легитимный пакет для атакуемой VLAN.
VLAN hopping is a computer security exploit, a method of attacking networked resources on a virtual LAN (VLAN).
The basic concept behind all VLAN hopping attacks is for an attacking host on a VLAN to gain access to traffic on other VLANs that would normally not be accessible.
There are two primary methods of VLAN hopping: switch spoofing and double tagging.
Both attack vectors can be mitigated with proper switch port configuration.
In a switch spoofing attack, an attacking host imitates a trunking switch by speaking the tagging and trunking protocols (e.g. Multiple VLAN Registration Protocol, IEEE 802.1Q, Dynamic Trunking Protocol) used in maintaining a VLAN.
Traffic for multiple VLANs is then accessible to the attacking host.
Switch spoofing can only be exploited when interfaces are set to negotiate a trunk.
To prevent this attack on Cisco IOS, use one of the following methods: 1. Ensure that ports are not set to negotiate trunks automatically by disabling DTP: Switch (config-if)# switchport nonegotiate 2. Ensure that ports that are not meant to be trunks are explicitly configured as access ports Switch (config-if)# switchport mode access
In a double tagging attack, an attacker connected to an 802.1Q-enabled port prepends two VLAN tags to a frame that it transmits.
The frame (externally tagged with VLAN ID that the attacker's port is really a member of) is forwarded without the first tag because it is the native VLAN of a trunk interface.
The second tag is then visible to the second switch that the frame encounters.
This second VLAN tag indicates that the frame is destined for a target host on a second switch.
The frame is then sent to the target host as though it originated on the target VLAN, effectively bypassing the network mechanisms that logically isolate VLANs from one another.
However, possible replies are not forwarded to the attacking host (unidirectional flow).
Double tagging can only be exploited on switch ports configured to use native VLANs.
Trunk ports configured with a native VLAN don't apply a VLAN tag when sending these frames.
This allows an attacker's fake VLAN tag to be read by the next switch.
Double tagging can be mitigated by any of the following actions (incl. IOS example): Simply do not put any hosts on VLAN 1 (the default VLAN). i.e., assign an access VLAN other than VLAN 1 to every access port Switch (config-if)# switchport access vlan 2 Change the native VLAN on all trunk ports to an unused VLAN ID. Switch (config-if)# switchport trunk native vlan 999 Explicit tagging of the native VLAN on all trunk ports. Must be configured on all switches in network autonomy. Switch(config)# vlan dot1q tag native
As an example of a double tagging attack, consider a secure web server on a VLAN called VLAN2.
Hosts on VLAN2 are allowed access to the web server; hosts from outside VLAN2 are blocked by layer 3 filters.
An attacking host on a separate VLAN, called VLAN1(Native), creates a specially formed packet to attack the web server.
It places a header tagging the packet as belonging to VLAN2 under the header tagging the packet as belonging to VLAN1.
When the packet is sent, the switch sees the default VLAN1 header and removes it and forwards the packet.
The next switch sees the VLAN2 header and puts the packet in VLAN2.
The packet thus arrives at the target server as though it were sent from another host on VLAN2, ignoring any layer 3 filtering that might be in place.
VLAN hopping — общее название для атак, которые предполагают проникновение в VLAN, который изначально (до выполнения атаки) был недоступен атакующему.
Основная атака VLAN Hopping (с использованием DTP).
Получение доступа к тегированному трафику при помощи DTP Работает только на старых коммутаторах Cisco.
Через порт атакующим отправляется пакет DTP (Dynamic Trunking Protocol), указывающий коммутатору, что данный порт является транковым (то есть, через него передаётся тегированный трафик VLANов).
Необходимо чтобы порт был соответствующим образом сконфигурирован.
Не все фреймы будут обрабатываться.
Дважды тегированный трафик Дважды тегированный трафик передаётся в другой VLAN Если на фрейм поставить два тега (то есть, дважды инкапсулировать его), то при некоторых условиях может получиться так, что фрейм, пройдя первый коммутатор попадёт в тегированный канал, но уже со вторым, внутренним, тегом.
В конечном счёте он попадёт в нужный VLAN.
Этот способ может обеспечить только однонаправленную передачу данных.