Безопасность VLAN
Материал из Xgu.ru
- Короткий URL: vlan/security
Безопасность VLAN — организация такого использования VLAN, когда невозможно несанкционированно получить доступ к трафику, передающихся во всех VLAN'ах за исключением тех, к которым доступ разрешён.
Принято считать, что достаточно изолировать трафик внутри отдельного VLAN и становится абсолютно невозможно ни просмотреть, ни, тем более, модифицировать его другим участникам сети, которые не имеют прямого доступа к этому VLAN'у. В действительности, это правда только отчасти. Существует большое количество различных способов в случае некорректной настройки коммутатора заставить его направлять на порт вместо трафика одного VLAN'а тегированный трафик множества VLAN'ов.
Это возможно только при некорректной настройке коммутатора. Здесь рассматриваются основные ошибки при настройке коммутаторов, методы их предотвращения и использования.
Содержание |
[править] VLAN hopping
VLAN hopping — общее название для атак, которые предполагают проникновение в VLAN, который изначально (до выполнения атаки) был недоступен атакующему.
[править] Основная атака VLAN Hopping (с использованием DTP)
Работает только на старых коммутаторах Cisco.
Через порт атакующим отправляется пакет DTP (Dynamic Trunking Protocol), указывающий коммутатору, что данный порт является транковым (то есть, через него передаётся тегированный трафик VLANов).
Необходимо чтобы порт был соответствующим образом сконфигурирован. Не все фреймы будут обрабатываться.
[править] Дважды тегированный трафик
Если на фрейм поставить два тега (то есть, дважды инкапсулировать его), то при некоторых условиях может получиться так, что фрейм, пройдя первый коммутатор попадёт в тегированный канал, но уже со вторым, внутренним, тегом. В конечном счёте он попадёт в нужный VLAN.
Этот способ может обеспечить только однонаправленную передачу данных.
[править] Дополнительная информация
- VoIP Hopper (англ.) — инструмент для проникновения в голосовые VLAN'ы; идеально подходит для сетей построенных на Cisco и Avaya
- Intrusion Detection FAQ: Are there Vulnerabilites in VLAN Implementations? VLAN Security Test Report (англ.) — некоторые слабые места VLAN
- VLAN INSECURITY (англ.)
- VLAN Hopping, myth or reality? (англ.)
- M0n0wallDocumentationTestBed : VLAN (англ.) — некоторые замечания о безопасности VLAN
- Cisco VLAN Security White Paper (англ.) — обеспечение безопасного использования VLAN'ов в Cisco
- VLAN capture setup (англ.) — перехват тегированного трафика в различных операционных системах
- VLAN Virtual Lan. VLAN spoof. Layer-2 switch. wvlan. (англ.) — обсуждение проблемы проникновения внутрь VLAN на форуме ettercap
- Virtual LAN Security: weaknesses and countermeasures (англ.) — большой документ, рассматривающий основные проблемы безопасности VLAN и меры по их устранению
- Bypassing and hacking VLAN switches (англ.) — простейший способ перехвата тегированного трафика
VLAN - Virtual Local Area Network | |
---|---|
Стандарты, протоколы и основные понятия | 802.1Q • VLAN ID • ISL • VTP • GVRP • Native VLAN |
В операционных системах | Linux (Debian, Ubuntu, CentOS) • FreeBSD • Windows |
В сетевом оборудовании | Cisco • HP ProCurve • D-LINK • Allied Telesis • Asotel • Juniper • ExtremeXOS |
Разное | man vconfig • Безопасность VLAN • 802.1X и RADIUS • Cisco Private VLAN |