VLAN Hopping چیست و نحوی جلوگیری از آن

VLAN Hopping چیست و نحوی جلوگیری از آن

 VLAN Hopping چیست و نحوی جلوگیری از آن

By default ترافیک را نمی توانیم لایه ۲ ای از یک Vlan به یک Vlan دیگر ببریم و باید با Routing این کار را انجام دهیم ، اگر بتوانیم بدون Routing این کار را کنیم به این کار Vlan Hopping می گویند. Vlan Hopping یک نوع حمله به vlan ها می باشد. دسترسی غیر مجاز یک کاربر به vlan ها را فراهم می سازد. هکر ها برای این کار از ۲ روش استفاده می کنند.

دو نوع حمله VLAN hopping وجود دارد  switch spoofing attack و Double tagging attack

SWITCH SPOOFING ATTACK

Dynamic Trunking Protocol یا DTP برای ساختن لینک ترانک بین دو سوییچ استفاده میشود. dynamic desirable, dynamic auto , Trunk مد هایی هستند که برای کانفیگ یک اینترفیس استفاده میشوند تا trunking dynamic و frame tagging راه اندازی شوند.

یک اینترفیس سوییچ که به یک end-device یک کامپیوتر یا یک پرینتر متصل شده است ، معمولا در مد  access است و آن end-device به VLAN مربوط به خودش دسترسی خواهد داشت.ترافیک های ارسالی از VLAN های دیگر ، با VLAN مربوط به اینترفیس end-device مورد نظر به اشتراک گذاشته نمیشوند.

حالتی را در نظر بگیرید که attacker به اینترفیسی از سوییچ متصل شده است که بصورت dynamic auto یا dynamic desirable و یا trunk کانفیگ شده باشد. اگر attacker قادر به ساختن پیغام Dynamic Trunking Protocol DTP ، بر روی کامپیوتر خود شود ، لینک ترانک بین کامپیوتر attacker و سوییچ فُرم خواهد گرفت.

متد دیگر برای Switch spoofing ، اتصال یک سوییچ غیرمجاز به اینترفیسی از سوییچ مورد نظر است که در مدهای dynamic auto , dynamic desrible و یا trunk کانفیگ شده باشد.

همین که لینک ترانک فُرم گرفت ،  attacker میتواند از تمام VLAN های ترافیک دریافت کند.حالا attacker میتواند تمام ترافیک سوییچ را sniff کند.

چطور از  switch spoofing attack جلوگیری کنیم 

  • هیچوقت پورت access را روی مد dynamic desirable , dynamic auto , trunk رها نکنیم.
  • تمام access port ها را بصورت access پورت کانفیگ کنید و DTP را همجا غیر فعال کنید
  • تمام Trunk port ها را بصورت trunk پورت کانفیگ کنید و هیچوقت DTP را روی trunk port ها فعال نکنید.
  • تمام اینترفیس هایی که استفاده نمیشوند را خاموش کنید.

Double tagging attack

حمله double tagging VLAN hopping یک نوع دیگر از VLAN hopping attack است.این حمله فقط زمانی کار میکند که attacker به اینترفیسی متصل باشد که به native VLAN ترانک پورت ها متصل باشد. این نوع حمله ، یک حمله یک طرفه است ( unidirectional )

 Double tagging VLAN hopping attack از قابلیت تگ گذاری ۸۰۲٫۱ q و پروسه حذف کردن تگ در انواع مختلف سوییچ ها سواستفاده میکند و بسیاری از سوییچ ها فقط یک تگ ۸۰۲٫۱ q را حذف میکنند. در این حمله ،  attacker فِرِم اصلی را طوری تغییر میدهد که دو تگ VLAN به آن اضافه میکند. یک تگ خارجی ، که تگ مربوط به VLAN خودش میشود و یک تگ داخلی مخفی که تگ VLAN قربانی دستگاه مورد حمله است. در اینجا PC حمله کننده باید عضو native VLAN لینک ترانک باشد.

وقتی که فِرِم با دو تگ ( double tagged frame ) به سوییچ (ciscoLandSW1) میرسد ، سوییچ میتواند فقط تگ VLAN خارجی را ببیند که اینترفیس واقعا به آن مربوط است.

سوییچ (ciscoLandSW1) حالا VLAN tag خارجی را حذف میکند و به تمامی پورت هایی که عضو native VLAN ) در این مثال VLAN 1 ( ارسال میکند. یک کپی از فرم برای لینک ترانک ارسال میشود تا بدست سوییچ بعدی که (ciscoLandSW2) است برسد.

وقتی که فرم به (ciscoLandSW2) میرسد ، سوییچ فِرِم را باز میکند تا تگ دوم را ببیند.  (ciscoLandSW2) فکر میکند که فِرِم مربوط به VLAN 100 است و بنابراین آن را به VLAN 100 ارسال میکند.

چطور از Double tagging attack جلوگیری کنیم :

  • قرار دادن native VLAN در VLAN بجز یک
  • native VLAN را هم تگ دار کنیم با دستور

Switch(config-if)# switchport trunk native vlan tag

(71 Posts)

جت آموز یکی از به روز ترین سایت های تولید فیلم های اموزشی فارسی در شاخه های فناوری اطلاعات و نت میباشد.هدف ما ارائه اموزش های با کیفیت و ارزان قیمت به تمامی کاربران است.

    Leave a Reply

    Your email address will not be published. Required fields are marked *