Безопасность VLAN

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Короткий URL: vlan/security

Безопасность VLAN ­— организация такого использования VLAN, когда невозможно несанкционированно получить доступ к трафику, передающихся во всех VLAN'ах за исключением тех, к которым доступ разрешён.

Принято считать, что достаточно изолировать трафик внутри отдельного VLAN и становится абсолютно невозможно ни просмотреть, ни, тем более, модифицировать его другим участникам сети, которые не имеют прямого доступа к этому VLAN'у. В действительности, это правда только отчасти. Существует большое количество различных способов в случае некорректной настройки коммутатора заставить его направлять на порт вместо трафика одного VLAN'а тегированный трафик множества VLAN'ов.

Это возможно только при некорректной настройке коммутатора. Здесь рассматриваются основные ошибки при настройке коммутаторов, методы их предотвращения и использования.

Содержание

[править] VLAN hopping

VLAN hopping — общее название для атак, которые предполагают проникновение в VLAN, который изначально (до выполнения атаки) был недоступен атакующему.

[править] Основная атака VLAN Hopping (с использованием DTP)

Получение доступа к тегированному трафику при помощи DTP

Работает только на старых коммутаторах Cisco.

Через порт атакующим отправляется пакет DTP (Dynamic Trunking Protocol), указывающий коммутатору, что данный порт является транковым (то есть, через него передаётся тегированный трафик VLANов).

Необходимо чтобы порт был соответствующим образом сконфигурирован. Не все фреймы будут обрабатываться.

[править] Дважды тегированный трафик

Дважды тегированный трафик передаётся в другой VLAN

Если на фрейм поставить два тега (то есть, дважды инкапсулировать его), то при некоторых условиях может получиться так, что фрейм, пройдя первый коммутатор попадёт в тегированный канал, но уже со вторым, внутренним, тегом. В конечном счёте он попадёт в нужный VLAN.

Этот способ может обеспечить только однонаправленную передачу данных.

[править] Дополнительная информация