LAN och VLAN attacker DHCP attacker
En VLAN hopping-attack är en säkerhetsrisk där en angripare manipulerar nätverkets switchar för att överföra data mellan olika VLAN utan de säkerhetskontroller som en router normalt ger. I denna attack konfigurerar angriparen sin enhet att efterlikna en switch och utnyttjar de automatiska trunking-funktionerna på switchportar.
Genom att sända trunking-signaler enligt IEEE 802.1Q och Cisco’s Dynamic Trunking Protocol (DTP) får angriparen den riktiga switchen att skapa en trunk-länk till den manipulerade enheten. Detta gör att angriparen kan skicka och ta emot trafik över alla VLAN på switchen, och därmed ”hoppa” mellan VLAN.
VLAN Double Tagging attack
Normalt använder en switch VLAN-taggar för att identifiera vilket VLAN en Ethernet-ram tillhör, så att den kan dirigeras korrekt genom nätverket. I en double tagging attack lägger angriparen in två VLAN-taggar i en Ethernet-ram istället för en. När ramen når en switch tar switchen bort den första taggen och skickar sedan vidare ramen baserat på den andra taggen. Detta får switchen att tro att ramen tillhör ett annat VLAN, vilket kan göra att ramen skickas till ett VLAN där den inte borde ha tillgång. Se bilden där visas ett exempel av denna typ av attack.
I denna attack skapar angriparens dator Ethernet-ramar med två 802.1Q-taggar. Den första taggen matchar trunkportens native VLAN (VLAN 10 i detta exempel), och den andra taggen matchar VLAN för värddatorn som angriparen vill attackera (VLAN 20).
När paketet når switch S1, ser S1 bara den första taggen för VLAN 10, som matchar dess native VLAN. Därför tar S1 bort denna VLAN-tagg och skickar vidare ramen till alla portar som tillhör native VLAN 10. Switch S2 tar emot ramen med VLAN 20-taggen, tar bort den och skickar den vidare till den dator som tillhör VLAN 20.
Viktigt att notera:
- Denna attack fungerar endast om trunklänken mellan de två switcharna har samma native VLAN som angriparens VLAN.
- Attacken är envägs, eftersom det inte går att kapsla in retursvar på samma sätt.
Troligtvis kommer returtrafiken också att tillåtas, vilket gör det möjligt för angriparen att kommunicera med enheter på det vanligtvis blockerade VLAN
Åtgärder för att förhindra VLAN-attacker
VLAN-hopping och VLAN double-tagging-attacker kan förhindras genom att följa dessa säkerhetsriktlinjer för trunkar:
- Stäng av trunking på alla åtkomstportar.
- Inaktivera automatisk trunking på trunklänkar så att trunkar bara aktiveras manuellt.
- Använd det ursprungliga VLAN endast för trunklänkar.