Port Security Violation          Mitigera DHCP attacker

I det här avsnittet fokuserar vi på metoder och tekniker för att säkra LAN och VLAN mot olika säkerhetshot. Dessa nätverk är sårbara för allt från oavsiktliga interna fel till avsiktliga externa attacker. Att kunna implementera effektiva säkerhetsåtgärder är avgörande för att skydda nätverksresurser och säkerställa en stabil och säker nätverksmiljö.

Mitigera VLAN hopping attacker

VLAN hopping-attacker kan utföras på tre sätt:

1. DTP-spoofing: Angriparen skickar falska DTP-meddelanden från sin dator för att lura switchen att aktivera trunk-läge. Genom detta kan angriparen märka sin trafik med en viss VLAN-tagg för att få åtkomst till ett specifikt VLAN där målenheten, exempelvis en server eller klient, befinner sig.
2. Rogue switch: Angriparen ansluter en falsk switch och aktiverar trunking, vilket ger åtkomst till alla VLAN på målets switch.
3. Double-tagging: Angriparen använder en teknik som utnyttjar hur vissa switchar hanterar VLAN-taggar för att manipulera och få obehörig åtkomst till andra VLAN. Genom att inkludera två VLAN-taggar i sina paket kan angriparen lura switchen att ta bort den första taggen och skicka vidare paketet med den andra taggen till ett mål-VLAN.

I en double-tagging attack lägger angriparen till två VLAN-taggar i ett datapaket i stället för en:

1. Yttre VLAN-tagg: Angriparen använder en VLAN-tagg som matchar det VLAN som porten är ansluten till (t.ex., VLAN 10).
2. Inre VLAN-tagg: Inuti finns en andra tagg som representerar det mål-VLAN som angriparen vill nå (t.ex., VLAN 20).

När paketet kommer till första switchen, tas den yttre VLAN-taggen bort (som standardbeteende), men den inre VLAN-taggen lämnas intakt. Paketet skickas sedan vidare till nästa switch, som tolkar den kvarvarande VLAN-taggen och skickar paketet till mål-VLAN (VLAN 20 i detta fall).

Denna teknik kan användas för att få obehörig åtkomst till andra VLAN och potentiellt till känsliga nätverkssegment

Steg för att motverka VLAN hopping attacker:

Följ dessa steg för att minska risken för VLAN hopping attacker:

1. Stäng av DTP (auto trunking) på portar som inte är trunkar genom att sätta dem i access-läge:
   • Switch(config-if)# switchport mode access
2. Inaktivera oanvända portar och sätt dem i ett oanvänt VLAN (t.ex., VLAN 999):
   • Switch(config)# interface range [oanvända portar]
   • Switch(config-if-range)# switchport mode access
   • Switch(config-if-range)# switchport access vlan 999
   • Switch(config-if-range)# shutdown
3. Sätt trunk-portar manuellt i trunk-läge:
   • Switch(config-if)# switchport mode trunk
4. Inaktivera DTP på trunk-portar:
   • Switch(config-if)# switchport nonegotiate
5. Ändra det nativa VLAN till något annat än VLAN 1 (t.ex., VLAN 10):
   • Switch(config-if)# switchport trunk native vlan 10

Exempel på konfiguration:

Antag följande:

FastEthernet-portarna 0/1 till fa0/16 är aktiva åtkomstportar (access)

S1(config)# interface range fa0/1 - 16
S1(config-if-range)# switchport mode access
S1(config-if-range)# exit
S1(config)#

FastEthernet portarna 0/17 till 0/20 används inte för närvarande. Flyttas till VLAN 1000 och stängs av.

S1(config)# interface range fa0/17 - 20
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 1000
S1(config-if-range)# shutdown
S1(config-if-range)# exit
S1(config)#

FastEthernet portarna 0/21 till 0/24 är trunk-portar. DTP och VLAN 1 aktiveras av.

S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate
S1(config-if-range)# switchport trunk native vlan 999
S1(config-if-range)# end
S1#

Port Security Violation          Mitigera DHCP attacker