Безопасность VLAN

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Короткий URL: vlan/security

Безопасность VLAN ­— организация такого использования VLAN, когда невозможно несанкционированно получить доступ к трафику, передающихся во всех VLAN'ах за исключением тех, к которым доступ разрешён.

Принято считать, что достаточно изолировать трафик внутри отдельного VLAN и становится абсолютно невозможно ни просмотреть, ни, тем более, модифицировать его другим участникам сети, которые не имеют прямого доступа к этому VLAN'у. В действительности, это правда только отчасти. Существует большое количество различных способов в случае некорректной настройки коммутатора заставить его направлять на порт вместо трафика одного VLAN'а тегированный трафик множества VLAN'ов.

Это возможно только при некорректной настройке коммутатора. Здесь рассматриваются основные ошибки при настройке коммутаторов, методы их предотвращения и использования.

[править] VLAN hopping

VLAN hopping — общее название для атак, которые предполагают проникновение в VLAN, который изначально (до выполнения атаки) был недоступен атакующему.

[править] Основная атака VLAN Hopping (с использованием DTP)

Получение доступа к тегированному трафику при помощи DTP

Работает только на старых коммутаторах Cisco.

Через порт атакующим отправляется пакет DTP (Dynamic Trunking Protocol), указывающий коммутатору, что данный порт является транковым (то есть, через него передаётся тегированный трафик VLANов).

Необходимо чтобы порт был соответствующим образом сконфигурирован. Не все фреймы будут обрабатываться.

[править] Дважды тегированный трафик

Дважды тегированный трафик передаётся в другой VLAN

Если на фрейм поставить два тега (то есть, дважды инкапсулировать его), то при некоторых условиях может получиться так, что фрейм, пройдя первый коммутатор попадёт в тегированный канал, но уже со вторым, внутренним, тегом. В конечном счёте он попадёт в нужный VLAN.

Этот способ может обеспечить только однонаправленную передачу данных.

[править] Дополнительная информация

• VoIP Hopper (англ.) — инструмент для проникновения в голосовые VLAN'ы; идеально подходит для сетей построенных на Cisco и Avaya
• Intrusion Detection FAQ: Are there Vulnerabilites in VLAN Implementations? VLAN Security Test Report (англ.) — некоторые слабые места VLAN
• VLAN INSECURITY (англ.)
• VLAN Hopping, myth or reality? (англ.)
• M0n0wallDocumentationTestBed : VLAN (англ.) — некоторые замечания о безопасности VLAN
• Cisco VLAN Security White Paper (англ.) — обеспечение безопасного использования VLAN'ов в Cisco
• VLAN capture setup (англ.) — перехват тегированного трафика в различных операционных системах
• VLAN Virtual Lan. VLAN spoof. Layer-2 switch. wvlan. (англ.) — обсуждение проблемы проникновения внутрь VLAN на форуме ettercap
• Virtual LAN Security: weaknesses and countermeasures (англ.) — большой документ, рассматривающий основные проблемы безопасности VLAN и меры по их устранению
• Bypassing and hacking VLAN switches (англ.) — простейший способ перехвата тегированного трафика

VLAN - Virtual Local Area Network
Стандарты, протоколы и основные понятия	802.1Q  • VLAN ID  • ISL  • VTP  • GVRP  • Native VLAN
В операционных системах	Linux (Debian, Ubuntu, CentOS)  • FreeBSD  • Windows
В сетевом оборудовании	Cisco  • HP ProCurve  • D-LINK  • Allied Telesis  • Asotel  • Juniper  • ExtremeXOS
Разное	man vconfig  • Безопасность VLAN  • 802.1X и RADIUS  • Cisco Private VLAN