Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Chống tấn công VLAN Hopping trên switch như thế nào?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Chống tấn công VLAN Hopping trên switch như thế nào?

    Tấn công VLAN hopping cho phép lưu lượng từ một VLAN truy cập tới những vlan khác mà không cần định tuyến. Một attacker có thể sử dụng vlan hopping attack để nghe trộm traffic trên các vlan khác. Có 2 kiểu tấn công VLAN hopping là: Switch spoofing double tagging.

    1. Switch Spoofing

    Mặc định switch cicso mang tất cả những traffic của tất cả các vlan. Vì vậy nếu một haker có thể thâm nhập vào một switch đi vào trunking mode, attacker có thể nhìn thấy tất cả các traffic trên tất cả các vlan. Trong một vài trường hợp kiểu tấn công này có thể sử dụng để tìm kiếm username và password credential, để hacker sử dụng cho lần tấn công sau.

    Một vài dòng switch cicso mặc định để auto mode trunking. Cái này có ý nghĩa rằng những port tự động trở thành trunking port nếu nó nhận DTP frame (Dynamic trunking protocol). Một haker có thể thực hiện biến cổng switch của anh ấy thành cổng trunking mode. Bằng cách cài phần mềm trên máy tính lừa gạt DTP frame hoặc kết nối 1 switch giả tới cổng của anh ấy.

    Để chống lại switch spoofing, bạn có thể tắt trunking trên tất cả những port không yêu cầu thực hiện mode trunks và tắt DTP trên những cổng ko cần trở thành trunk port.

    Disable Trunking
    Code:
    Switch (config)# interface gigaethernet 0/3
    Switch (config -if)# switchport mode access
    Preventing using DTP (ngăn ngừa sử dụng DTP)
    Code:
    Switch (config-if)# switchport trunk encapsulationg dot1q
    Switch (config-if)#swtichport mode trunk
    Switch (config-if)#swtichport nonegotiate
    2. Double Tagging



    Trên đường Trunk chuẩn IEEE 802.1Q, một VLAN được thiết kế là native VLAN. Native vlan không thêm bất kỳ tagging nào tới frame trong quá trình truyền frame từ một switch này đến những switch khác. Nếu máy tính của hacker thuộc cùng native vlan, hacker có thể dùng đặc thù của native vlan làm đòn bẩy để gửi traffic, cái mà có hai tag chuẩn 802.1q.

    Đặc trưng riêng, traffic router tag cho native vlan và traffic inner tag cho vlan đích, cái mà attacker muốn gửi traffic.

    Mô hình: Attacker (VLAN 1) => sw1; sw1=> sw2; sw2 => victim (VLAN 100).

    Attacker gửi dữ liệu từ máy mình vlan1 đến máy victim vlan 100. Do attacker kết nối đến sw1 thuộc native vlan, nên khi dữ liệu qua sw1 sẽ ko bị gắn tag, ở đây router tag sẽ bị gỡ bỏ trên frame của sw1.Khi frame của sw1 được gửi đến sw2, sw2 sẽ đóng inner tag cho frame. Inner tag ở đây là vlan 100 , vlan của máy victim.

    Sw2 gửi traffic out tới vlan đích (vlan 100). Để ngăn ngừa một tấn công VLAN hopping sử dụng double tagging, không sử dụng native vlan để gửi traffic người dùng. Bạn có thực hiện điều này bằng cách tạo 1 native vlan trên tổ chức của bạn không có bất kỳ port nào. Vlan này không sử dụng là duy nhất cho mục đích gán native vlan.
    Code:
    SW(config-if)# switchport trunk native vlan 400
    Phan Trung Tín
    Email: phantrungtin@vnpro.org
    .
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm, P.25, Q.Bình Thạnh, Tp.HCM
    Tel: (028) 35124257 (028) 36222234
    Fax: (028) 35124314

    Home Page: http://www.vnpro.vn
    Forum: http://www.vnpro.org
    Twitter: https://twitter.com/VnVnpro
    LinkedIn: https://www.linkedin.com/in/VnPro
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Videos: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
    Facebook: http://facebook.com/VnPro
    Zalo: https://zalo.me/1005309060549762169
    ​​​​​​
Working...
X