______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Что такое атака vlan и как ее предотвратить.

VLAN используется для совместного использования физической сети при создании виртуальных сегментов для разделения определенных групп. Например, Хост на VLAN 1 отделен от любого хоста на VLAN 2. Любые пакеты, передаваемые между VLAN, должны пройти через маршрутизатор или другие устройства уровня 3. Безопасность-одна из многих причин, по которым сетевые администраторы настраивают VLAN. Однако с помощью эксплойта, известного как «Hopping VLAN», злоумышленник может обойти эти реализации безопасности.

VLAN Hopping

Этот тип эксплойта позволяет злоумышленнику обойти любые ограничения уровня 2, созданные для разделения узлов. При правильной настройке порта коммутатора злоумышленник должен будет пройти через маршрутизатор и любые другие устройства уровня 3 для доступа к своей цели. Тем не менее, многие сети либо имеют плохую реализацию VLAN, либо имеют неправильные конфигурации, которые позволят злоумышленникам выполнить указанный эксплойт. В этой статье я рассмотрю два основных метода прыжков VLAN, известных как’ подмены с коммутацией ‘и’двойной пометки’. Затем я расскажу о методах смягчения последствий.

Switched Network

Крайне важно понимать, как работают коммутаторы, если мы хотим найти и использовать их уязвимости. Мы не обязательно эксплуатируем само устройство, а скорее протоколы и конфигурации, инструктирующие, как они работают.

На коммутаторе порт или настроен как порт доступа или как порт транкинга. Порт доступа обычно используется при подключении хоста к коммутатору. С реализацией VLAN каждый порт доступа назначен только одной VLAN. Транкинговый порт используется при соединении двух коммутаторов или коммутатора и маршрутизатора. Транкинговые порты позволяют использовать трафик из нескольких VLAN. Магистральный порт можно настроить вручную или создать динамически с помощью протокола динамической магистрали (dtp).

DTP является проприетарным протоколом Cisco, где одно использование должно динамично установить магистральное соединение между двумя коммутаторами.

Switched Spoofing VLAN Attack

Атакующий действует как коммутатор, чтобы обмануть легитимный коммутатор в создание транкинговой связи между ними. Как упоминалось ранее, пакеты из любой VLAN могут проходить через магистральный канал. Как только магистральное соединение установлено, атакующий тогда имеет доступ к трафику от любой VLAN. Эта уязвимость успешна только в том случае, если допустимый коммутатор настроен для согласования магистрали. Это происходит, когда интерфейс настроен или с «динамическим желательным», «динамическим авто» или с режимом «Транка». Если целевой коммутатор имеет один из этих настроенных режимов, атакующий тогда может генерировать сообщение DTP от их компьютера, и магистральное соединение может быть сформировано.

Double Tagging

Двойная маркировка происходит, когда злоумышленник добавляет и изменяет теги на фрейме Ethernet, чтобы позволить отправку пакетов через любую VLAN. Эта атака использует преимущества того, сколько переключателей обрабатывают теги. Большинство коммутаторов только удалят внешний тег и передадут кадр ко всем собственным портам VLAN. С учетом сказанного, этот эксплойт является успешным только в том случае, если злоумышленник принадлежит к собственной VLAN магистрального канала. Еще один важный момент, эта атака строго в одну сторону как нельзя инкапсулировать пакет.

VLAN Hopping Exploit

В этом случае существует злоумышленник, коммутатор и целевой сервер. Злоумышленник подключается к интерфейсу коммутатора FastEthernet 0/12, а целевой сервер подключается к интерфейсу коммутатора FastEthernet 0/11 и входит в состав VLAN 2. Взгляните на следующую топологию.

Как только вы знакомы с топологией, взгляните на некоторые конфигурации, установленные для коммутатора:

интерфейс FastEthernet0/11

switchport режим доступа

switchport nonegotiate режиме

switchport доступ vlan 2

!

интерфейс FastEthernet0/12

режим switchport динамичный авто

Надеюсь, вы видите проблему конфигурации с интерфейсом fa0 / 12. Этот порт настроен на прием входящих переговоров, чтобы определить, является ли порт для доступа или транкинг. Это означает, что злоумышленник может выполнить атаку на коммутатор. После того, как злоумышленник подключается к порту, они могут отправить сообщение DTP и магистральное соединение будет установлено.

Злоумышленник может использовать программу Yersinia для создания и отправки сообщения DTP. Yersinia-это платформа для тестирования на проникновение, созданная для атаки на многие протоколы, которые находятся на уровне 2. Он поставляется с предустановленным с kali Linux и имеет простой в использовании графический интерфейс пользователя (GUI).

Yersinia Homepage — http://www.yersinia.net/

 

Чтобы запустить Yersinia:

yersinia-G

Вот быстрый взгляд на графический интерфейс:

Теперь отправить сообщение DTP так же просто, как следующие 4 шага:

  1. click «Launch attack»
  2. click the tab «DTP»
  3. click «enable trunking»
  4. click «ok»

Yersinia будет посылать сообщение DTP и в течение нескольких секунд, транкинговая связь будет установлена. В нашем сценарии атакующий будет иметь доступ ко всему трафику, проходящему через VLAN 2, и может непосредственно атаковать, не проходя через устройства уровня 3.

Сценарий 2 — Двойная Атака Пометки
В этом случае существует злоумышленник, 2 коммутатора и целевой сервер. Злоумышленник подключен к коммутатору 1. Переключатель 1 прикреплен к переключателю 2 и, наконец, наша цель прикреплена к переключателю 2. Взгляните на следующую топологию.

Как только вы знакомы с топологией, взгляните на некоторые конфигурации, установленные для коммутатора 1.
интерфейс FastEthernet0/12
switchport режим доступа
switchport nonegotiate
switchport доступ vlan 1
!
интерфейс FastEthernet0/11
багажник инкапсуляции dot1q switchport
магистраль режима switchport
switchport nonegotiate
switchport багажник родной vlan 1

Из этих конфигураций мы видим, что злоумышленник не сможет выполнить атаку подмены коммутатора. Однако мы видим, что злоумышленник принадлежит к собственной VLAN магистрального порта. Это означает, что эта топология уязвима для атаки с двойным тегированием.
Злоумышленник может использовать программу Scapy, чтобы создать специально созданные кадры, необходимые для обработки этой атаки. Scapy-это программа на Python, созданная для работы с пакетами.

Scapy Homepage — https://scapy.net/

Scapy Documentation — http://scapy.readthedocs.io/en/latest/usage.html

Start Scapy:

sudo ./scapy

Использование функции sendp() для создания пакета:

>>sendp(Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=2)/IP(dst='<destination IP’, src='<source IP>’)/ICMP())

Это создаст двойной 802.1 q инкапсулированный пакет для цели на VLAN 2. Посмотрите на следующую топологию, чтобы увидеть, как коммутаторы управляют этим кадром.

На рисунке видно, что коммутатор 1 считывает и удаляет только внешний тег. Это проверяет, что хост является частью заявленной VLAN и передает пакет ко всем собственным портам VLAN (VLAN 1). Коммутатор 2 тогда получает пакет только с одним левым заголовком. Это предполагает, что кадр принадлежит заявленной VLAN на этом теге (VLAN 2) и вперед ко всем портам, настроенным для VLAN 2. Цель получает пакет, отправленный злоумышленником.

VLAN = HOPPED.

Как защитится

Чтобы предотвратить атаку подмены, необходимо выполнить несколько шагов:

Не настраивайте точки доступа ни с одним из следующих режимов: «желательно динамический», «динамический автоматический»или » магистральный».
Вручную настройте порты доступа и отключите DTP на всех портах доступа.
switchport режим доступа
switchport nonegotiate режиме
Вручную настройте все магистральные порты и отключите DTP на всех магистральных портах.
магистраль режима switchport
switchport nonegotiate режиме
Отключение всех интерфейсов, которые в настоящее время не используется.

Чтобы предотвратить двойную атаку тегов, держите собственную VLAN всех магистральных портов, отличных от пользовательских VLAN.

Коммутаторы не были созданы для обеспечения безопасности. Однако важно использовать меры безопасности на всех уровнях. Если требуется время для сегментирования сети, убедитесь, что это сделано правильно и безопасно. Будьте внимательны при настройке сети.

 

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх