I den här avsnittet kommer vi att utforska olika strategier och tekniker för att mitigera attacker mot LAN och VLAN. Dessa nätverk är ofta mål för en mängd olika säkerhetshot, från interna överträdelser till externa intrångsförsök. Genom att förstå och tillämpa rätt säkerhetsåtgärder kan vi effektivt skydda våra nätverksresurser och upprätthålla en hög säkerhetsnivå.

Låt oss börja med att dyka djupare in i dessa koncept och lära oss hur vi kan förstärka vårt försvar mot dessa vanliga men potentiellt förödande attacker.

Mitigera VLAN hopping attacker

VLAN hopping attacker kan genomföras på tre sätt:

1. Genom att förfalska DTP-meddelanden från den hotaktörens datorn, vilket får switchen att gå över till trunk-läge. Därifrån kan angriparen skicka trafik märkt med mål-VLAN, och switchen levererar sedan paketen till destinationen.
2. Genom att introducera en falsk (rogue) switch och aktivera trunking. Hotaktören kan då få tillgång till alla VLAN på offrets switch från den falska switchen.
3. Ett annat sätt att genomföra VLAN hopping attacker är med dubbelinkapsling (double tagging). Denna attack utnyttjar hur hårdvaran på de flesta switchar fungerar.

Steg för att motverka VLAN hopping attacker:

Följ dessa steg för att minska risken för VLAN hopping attacker:

1. Inaktivera DTP (auto trunking)-förhandlingar på icke-trunkande portar genom att använda kommandot switchport mode access.
2. Inaktivera oanvända portar och placera dem i ett oanvänt VLAN.
3. Aktivera manuellt trunk-länken på en trunkande port genom att använda kommandot switchport mode trunk.
4. Inaktivera DTP (auto trunking)-förhandlingar på trunkande portar genom att använda kommandot switchport nonegotiate.
5. Ställ in det nativa VLAN till ett annat VLAN än VLAN 1 genom att använda kommandot switchport trunk native vlan vlan_number.

Exempel på konfiguration:

Antag följande:

• FastEthernet-portarna 0/1 till fa0/16 är aktiva åtkomstportar (access)
• FastEthernet portarna 0/17 till 0/20 används inte för närvarande
• FastEthernet portarna 0/21 till 0/24 är trunk-portar.

VLAN-hopping kan motverkas genom att implementera följande konfiguration.

S1(config)# interface range fa0/1 - 16
S1(config-if-range)# switchport mode access
S1(config-if-range)# exit
S1(config)#
S1(config)# interface range fa0/17 - 20
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 1000
S1(config-if-range)# shutdown
S1(config-if-range)# exit
S1(config)#
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate
S1(config-if-range)# switchport trunk native vlan 999
S1(config-if-range)# end
S1#

• FastEthernet-portarna 0/1 till 0/16 är åtkomstportar och trunking är inaktiverat genom att de uttryckligen ställs in som åtkomstportar.
• FastEthernet-portarna 0/17 till 0/20 används inte och är inaktiverade samt tilldelade ett oanvänt VLAN.
• FastEthernet-portarna 0/21 till 0/24 är trunk-länkar och är manuellt aktiverade som trunks med DTP inaktiverat (nonegotiate). Det ursprungliga VLAN är också ändrat från standard VLAN 1 till ett oanvänt VLAN 999.