Le VLAN semplificano la manutenzione della rete, migliorano le prestazioni e forniscono sicurezza isolando il traffico da diverse VLAN. È possibile ricordare che la comunicazione tra VLAN non è possibile senza passare attraverso un router. Tuttavia, una tecnica nota come hopping della VLAN consente al traffico proveniente da una VLAN di essere visto da un’altra VLAN senza prima attraversare un router. In alcune situazioni, gli aggressori possono persino intercettare i dati e ottenere password e altre informazioni sensibili. L’attacco funziona sfruttando erroneamente una porta trunk configurata in modo errato. Le porte trunk passano il traffico da tutte le VLAN (1 – 4094) attraverso lo stesso collegamento fisico, generalmente tra switch. I frame di dati che si spostano attraverso questi collegamenti trunk sono incapsulati con IEEE 802.1Q o ISL per identificare a quale VLAN appartiene un frame.
Discuteremo un attacco di hopping VLAN di base che utilizza un collegamento trunk non autorizzato, come mostrato nella figura. In questo attacco, l’attaccante sfrutta la configurazione di trunking automatica predefinita presente sulla maggior parte degli switch. L’aggressore ottiene prima l’accesso a una porta libera su uno switch e quindi configura un sistema, molto probabilmente un computer portatile, che si presenta come uno switch. È possibile farlo se il sistema è dotato di una scheda di rete compatibile con 802.1Q o ISL, utilizzando un software appropriato che di solito viene fornito con la scheda di rete stessa.
L’attaccante comunica con lo switch con i messaggi DTP (Dynamic Trunking Protocol), cercando di indurre lo switch a pensare che sia un altro switch che deve essere collegato. Se viene stabilito correttamente un trunk tra il sistema dell’aggressore e lo switch, l’attaccante può ottenere l’accesso a tutte le VLAN consentite sulla porta del trunk. Per avere successo, questo attacco richiede una porta switch che supporti il ​​trunking come desiderabile o automatico. Il risultato finale è che l’attaccante è un membro di tutte le VLAN trunking sullo switch e può saltare in tutte quelle VLAN, inviando e ricevendo traffico.
Questo tipo di attacco di hopping VLAN semplice ma efficace può essere lanciato in due modi:
•Generazione di messaggi DTP dall’host attaccante per fare in modo che lo switch stabilisca un trunk con l’host. Una volta stabilito un trunk, l’aggressore può inviare e ricevere il traffico taggato con la VLAN di destinazione per raggiungere qualsiasi altro host come un server in quella VLAN, poiché lo switch consegna i pacchetti alla destinazione.
•L’introduzione di uno switch malevole e l’attivazione del trunking possono anche stabilire un trunk con switch vittima. L’aggressore può quindi accedere a tutte le VLAN sullo switch di destinazione dallo switch malevolo.
Il modo migliore per prevenire un attacco di hopping VLAN di base è disattivare il trunking di tutte le porte dello switch tranne quelle che richiedono specificamente il trunking. Tutte le porte utente devono essere configurate con i seguenti comandi:
Switchport mode access: questo comando imposta in modo permanente la porta dello switch su una modalità non-trunking ed è abbastanza buono per tutte le porte dello switch che dovrebbero essere collegate ai PC degli utenti.
switchport nonegotiate Questo comando può essere utilizzato anche per disabilitare la generazione di messaggi DTP. Tuttavia, una porta configurata con switchport mode access non può mai diventare trunk, tuttavia la disabilitazione di DTP riduce i frame DTP indesiderati sul collegamento.
Sulle porte dello switch che richiedono il trunking, il DTP deve essere disabilitato usando il comando switchport nonegotiate e il trunking deve essere configurato manualmente usando il comando switchport mode trunk nella modalità di configurazione dell’interfaccia.
About Author
