El salto de VLAN es una vulnerabilidad de seguridad informática , un método para atacar recursos en red en una LAN virtual (VLAN). El concepto básico detrás de todos los ataques de salto de VLAN es que un host atacante en una VLAN obtenga acceso al tráfico en otras VLAN que normalmente no serían accesibles. Hay dos métodos principales de salto de VLAN: suplantación de conmutación y etiquetado doble . Ambos vectores de ataque se pueden mitigar con la configuración adecuada del puerto del conmutador.
Cambiar la suplantación de identidad
En un ataque de suplantación de un conmutador, un host atacante imita un conmutador troncalizado [1] hablando los protocolos de etiquetado y troncalizado (p. Ej. , Protocolo de registro de VLAN múltiple , IEEE 802.1Q , Protocolo de troncalización dinámica ) utilizados para mantener una VLAN. El host atacante puede acceder al tráfico de varias VLAN.
Mitigación
La falsificación de conmutadores solo se puede aprovechar cuando las interfaces están configuradas para negociar un tronco. Para evitar este ataque en Cisco IOS , utilice uno de los siguientes métodos: [2] : 163
1. Asegúrese de que los puertos no estén configurados para negociar troncales automáticamente desactivando DTP :
Switch (config-if) # switchport no negociar
2. Asegúrese de que los puertos que no están destinados a ser troncales estén configurados explícitamente como puertos de acceso.
Acceso al modo Switch (config-if) # switchport
Etiquetado doble
En un ataque de etiquetado doble, un atacante conectado a un puerto habilitado para 802.1Q antepone dos etiquetas VLAN a una trama que transmite. La trama (etiquetada externamente con la ID de VLAN de la que el puerto del atacante es realmente miembro) se reenvía sin la primera etiqueta porque es la VLAN nativa de una interfaz troncal. La segunda etiqueta es visible para el segundo interruptor que encuentra el marco. Esta segunda etiqueta de VLAN indica que la trama está destinada a un host de destino en un segundo conmutador. Luego, la trama se envía al host de destino como si se hubiera originado en la VLAN de destino, evitando efectivamente los mecanismos de red que aíslan lógicamente las VLAN entre sí. [3] Sin embargo, las posibles respuestas no se envían al host atacante (flujo unidireccional).
Mitigación
El etiquetado doble solo se puede explotar en puertos de conmutador configurados para usar VLAN nativas . [2] : 162 Los puertos troncales configurados con una VLAN nativa no aplican una etiqueta VLAN al enviar estas tramas. Esto permite que el siguiente conmutador lea la etiqueta VLAN falsa de un atacante. [4]
El etiquetado doble se puede mitigar mediante cualquiera de las siguientes acciones (incluido el ejemplo de IOS):
- Simplemente no coloque ningún host en la VLAN 1 (la VLAN predeterminada). es decir, asigne una VLAN de acceso que no sea la VLAN 1 a cada puerto de acceso
Switch (config-if) # switchport acceso vlan 2
- Cambie la VLAN nativa en todos los puertos troncales a una ID de VLAN no utilizada.
Switch (config-if) # switchport trunk native vlan 999
- Etiquetado explícito de la VLAN nativa en todos los puertos troncales. Debe configurarse en todos los conmutadores en autonomía de red.
Cambiar (config) # vlan dot1q etiqueta nativa
Ejemplo
Como ejemplo de un ataque de etiquetado doble, considere un servidor web seguro en una VLAN llamado VLAN2. A los hosts de VLAN2 se les permite el acceso al servidor web; los hosts de fuera de VLAN2 están bloqueados por filtros de capa 3. Un host atacante en una VLAN separada, llamada VLAN1 (Nativa), crea un paquete especialmente formado para atacar el servidor web. Coloca un encabezado que etiqueta el paquete como perteneciente a VLAN2 debajo del encabezado que etiqueta el paquete como perteneciente a VLAN1. Cuando se envía el paquete, el switch ve el encabezado VLAN1 predeterminado, lo elimina y reenvía el paquete. El siguiente conmutador ve el encabezado de VLAN2 y coloca el paquete en VLAN2. Por lo tanto, el paquete llega al servidor de destino como si hubiera sido enviado desde otro host en VLAN2, ignorando cualquier filtrado de capa 3 que pueda estar en su lugar. [5]
Ver también
Referencias
- ↑ Rik Farrow (17 de marzo de 2003). "Inseguridad VLAN" . Consultado el 7 de junio de 2017 .
- ^ a b Boyles, Tim (2010). Guía de estudio de seguridad CCNA: examen 640-553 . ISBN de SYBEX Inc. 9780470527672.
- ^ Rouiller, Steve A. "Virtual LAN Security: debilidades y contramedidas" . Sala de lectura InfoSec del Instituto SANS . Consultado el 7 de junio de 2017 .
- ^ "¿Qué es el ataque de doble etiquetado y cómo prevenir el ataque de doble etiquetado?" . Consultado el 15 de octubre de 2017 .
- ^ "Ejemplos de configuración relacionados con las funciones de VLAN" . Guía del software Catalyst 2820 y 1900 Enterprise Edition . Cisco . Archivado desde el original el 28 de enero de 2013 . Consultado el 7 de junio de 2017 .