VLAN es una red de área local virtual en la que una red física se divide en un grupo de dispositivos para interconectarlos. VLAN se usa normalmente para segmentar un dominio de transmisión singular en numerosos dominios de transmisión en redes de capa 2 conmutadas. Para comunicarse entre dos redes VLAN, se requiere un dispositivo de capa 3 (generalmente un enrutador) de modo que todos los paquetes comunicados entre las dos VLAN deben pasar a través del tercer dispositivo de capa OSI.
En este tipo de red, cada usuario recibe un puerto de acceso para separar el tráfico de VLAN el uno del otro, i.mi., Un dispositivo conectado a un puerto de acceso solo tiene acceso al tráfico específico de VLAN, ya que cada puerto de acceso al interruptor está conectado a una VLAN particular. Después de conocer los conceptos básicos de lo que es una VLAN, saltemos hacia la comprensión de un ataque de VLAN y cómo funciona.
Cómo funciona el ataque de Vlan Hopping
VLAN Hopping Attack es un tipo de ataque de red en el que un atacante intenta obtener acceso a una red de VLAN enviándole paquetes a través de otra red de VLAN con la que está conectado el atacante. En este tipo de ataque, el atacante intenta maliciosamente obtener acceso al tráfico que proviene de otras VLAN en una red o puede enviar tráfico a otras VLAN en esa red, a la que no tiene acceso legal. En la mayoría de los casos, el atacante solo explota 2 capas que segmentan varios anfitriones.
El artículo proporciona una breve descripción del ataque de VLAN Hopping, sus tipos y cómo prevenirlo con detección oportuna.
Tipos de ataque VLAN Hopping
Ataque de Vlan Spelling:
En un ataque de salto VLAN de suplanal conmutado, el atacante intenta imitar un interruptor para explotar un interruptor legítimo al engañarlo para que haga un enlace de enlace entre el dispositivo del atacante y el interruptor. Un enlace de troncal es un enlace de dos interruptores o un interruptor y un enrutador. El enlace del tronco lleva el tráfico entre los interruptores vinculados o los interruptores y enrutadores vinculados y mantiene los datos de VLANS.
Los marcos de datos que pasan desde el enlace de la troncal están etiquetados para ser identificados por la VLAN a la que pertenece el marco de datos. Por lo tanto, un enlace troncal lleva el tráfico de muchas VLAN. Como se permite que los paquetes de cada VLAN atraviesen un enlace de enlace, inmediatamente después de que se establece el enlace del tronco, el atacante accede al tráfico desde todas las VLAN en la red.
Este ataque solo es posible si un atacante está vinculado a una interfaz Switch cuya configuración está configurada en cualquiera de los siguientes ",dinámico deseable","auto dinámico," o "trompa"Modos. Esto permite al atacante formar un enlace troncal entre su dispositivo y el interruptor generando un mensaje DTP (protocolo de enlace dinámico; se utilizan para construir enlaces troncales entre dos interruptores dinámicamente) desde su computadora.
Ataque de doble etiquetado VLAN:
También se puede denominar un ataque de doble tensor de salto VLAN doble encapsulado Ataque de Vlan Hopping. Estos tipos de ataques solo funcionan si el atacante está conectado a una interfaz conectada a la interfaz de puerto troncal/enlace.
El ataque con doble etiquetado VLAN se produce cuando el atacante modifica el marco original para agregar dos etiquetas, al igual que la mayoría de los interruptores solo eliminan la etiqueta externa, solo pueden identificar la etiqueta externa y la etiqueta interna se conserva. La etiqueta exterior está vinculada a la VLAN personal del atacante, mientras que la etiqueta interna está vinculada a la VLAN de la víctima.
Al principio, el marco de doble etiqueta de atacante del atacante llega al interruptor, y el interruptor abre el marco de datos. Luego se identifica la etiqueta externa del marco de datos, que pertenece a la VLAN específica del atacante al que se asocia el enlace. Después de eso, reenvía el marco a cada uno de los enlaces de VLAN nativos, y también, se envía una réplica del marco al enlace del tronco que llega al siguiente interruptor.
El siguiente interruptor luego abre el marco, identifica la segunda etiqueta del marco de datos como la VLAN de la víctima, y luego la reenvía a la VLAN de la víctima. Finalmente, el atacante obtendrá acceso al tráfico proveniente de la VLAN de la víctima. El ataque doble de etiquetado es solo una dirección, y es imposible limitar el paquete de retorno.
Mitigación de ataques de salto VLAN
Mitigación de ataque de VLAN conmutado:
La configuración de los puertos de acceso no debe establecerse en ninguno de los siguientes modos: "dinámico deseable", "dAuto Ynámico", o "trompa".
Establezca manualmente la configuración de todos los puertos de acceso y deshabilite cambiar Negociación del modo de puerto.
Establezca manualmente la configuración de todos los puertos del tronco y deshabilite el protocolo de tranqueo dinámico en todos los puertos del tronco con el modo de interruptor Trunk o la negociación del modo de puerto de conmutación.
Coloque todas las interfaces no utilizadas en una VLAN y luego cierre todas las interfaces no utilizadas.
Etiquetado doble Mitigación de ataque VLAN:
No coloque ningún host en la red en la VLAN predeterminada.
Cree una VLAN no utilizada para configurarla y usarla como la VLAN nativa para el puerto troncal. Del mismo modo, hágalo por todos los puertos del tronco; La VLAN asignada solo se usa para la VLAN nativa.
Conclusión
Este ataque permite a los atacantes maliciosos obtener acceso a las redes ilegalmente. Los atacantes pueden extraer contraseñas, información personal u otros datos protegidos. Del mismo modo, también pueden instalar malware y spyware, propagar caballos troyanos, gusanos y virus, o alterar e incluso borrar información importante. El atacante puede olfatear fácilmente todo el tráfico que viene de la red para usarlo con fines maliciosos. También puede interrumpir el tráfico con marcos innecesarios hasta cierto punto.
Para concluir, se puede decir más allá de cualquier duda que un ataque de salto de VLAN es una enorme amenaza de seguridad. Para mitigar este tipo de ataques, este artículo equipa al lector con medidas preventivas y de seguridad. Del mismo modo, existe una necesidad constante de medidas de seguridad adicionales y más avanzadas que deben agregarse a las redes basadas en VLAN y mejorar los segmentos de red como zonas de seguridad.