VLAN hopping روشی برای حمله به شبکه با ارسال بسته ها به پورت است برای دسترسی به قسمت هایی از شبکه است که به طور معمول از یک سیستم انتهایی مشخص قابل دسترسی نیستند. در این مقاله می خواهیم امکان ایجاد این حملات را مهار کنیم و پورتهایی که نیاز نیست Trunk باشند را از حالت ترانک خارج کنیم.

vlan hopping attack

vlan hopping attack

به صورت پیش فرض برخی از سوییچ های سیسکو در حالت auto trunking قرار دارند. یعنی با دریافت فریم DTP روی پورت، آن پورت به صورت خودکار تبدیل به پورت ترانک میشود. این موضوع زمانی تبدیل به یک مشکل امنیتی می شود که نفوذگر پورت سوییچ را به ترانک تبدیل کند و حملات VLAN hopping را انجام دهد. اون شخص بدون نیاز به عبور ترافیک از روتر میتواند به بقیه VLAN های سوئیچ دسترسی داشته باشد.

VLAN hopping می تواند برای سرقت کلمه عبور و سایر اطلاعات حساس از مشترکین شبکه استفاده شود. VLAN hopping همچنین می تواند برای تغییر، خراب کردن و یا حذف داده ها، نصب نرم افزارهای جاسوسی یا سایر نرم افزارهای مخرب و تبلیغ ویروس ها ، کرم ها و تروجان ها در سراسر شبکه مورد استفاده قرار گیرد.

vlan hopping lab

vlan hopping lab

جلوگیری از حملات VLAN hopping

برای غیرفعال کردن امکان VLAN hopping می توانید ترانک را روی تمام پورتهایی که به آن نیاز ندارند غیر فعال کنید و همچنین قابلیت DTP را روی تمام پورتها غیر فعال کنید.

غیر فعال کردن ترانک

 

جلوگیری از امکان DTP

در این روش نفوذگر سیستم خود را همانند یک سویچ جا میزند تا سویچ مورد هدف را گول بزند، اگر در کانفیگ سویچ دقت نشود و پورت های سویچ برای ترانک شدن در حالت Dynamic باشند با قرار گیری یک سویچ در طرف مقابل و ترانک بودن پورت آن طی Negotiation پورت مورد نظر ما هم تغییر وضعیت داده و ترانک می شود و چون بصورت پیش فرض پورت ترانک Allowed All VLAN می باشد ترافیک تمام VLAN ها را به سمت سویچی که هکر شبیه سازی کرده ارسال می شود. در این حالت کافیست هکر کامپیوتر خود را به جای سویچی با پورت ترانک جا بزند و تمام ! به ترافیک تمام VLAN ها دسترسی خواهد داشت.

Switch Spoofing

Switch Spoofing

راه جلوگیری: پورت های غیر لازم را از حالت ترانک خارج کنید، DTP را روی پورت های غیر لازم غیر فعال کنید، پورت ها را در حالت Dynamic Auto Negotiation خارج کنید.

 

جلوگیری از double tagging

برای جلوگیری از حملات Vlan-hopping با استفاده از قابلیت double tagging از قابلیت Native VLAN برای ارسال ترافیک کاربر استفاده نکنید. اینکار را می توانید با ایجاد یک VLAN که هیچ پورتی به آن اضافه نشده است انجام دهید و از این VLAN فقط برای استفاده به عنوان Native VLAN باشد مانند مثال زیر:

 

 

 

 

VLAN Hopping is an attack where the attacker is able to send traffic from one VLAN into another. There are two different methods to accomplish this:

  • Double tags: the idea behind the attack is that the attacker  is connected to an interface in access mode with the same VLAN as the native untagged VLAN on the trunk. The attacker sends a frame with two 802.1Q tags, the “inner” VLAN tag is the VLAN that we want to reach and the “outer” VLAN tag is the native VLAN. When the switch receives the frame, it will remove the first (native VLAN) 802.1Q tag and forwards the frame with the second 802.1Q tag on its trunk interface(s). The attacker has now “jumped” from the native VLAN to the victim’s VLAN.It’s a one way trip but it could be used perhaps for a DOS attack.
  • Switch spoofing: the attacker will send DTP packets and tries to negotiate a trunk with the switch, this is possible when you use the default “dynamic auto” or “dynamic desirable” switchport mode. Once you have a trunk to your computer, you will have access to all VLANs. This is basically a misconfiguration since you should never configure your interfaces to use the dynamic switchport modes.