• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Chống tấn công VLAN Hopping trên switch như thế nào?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Chống tấn công VLAN Hopping trên switch như thế nào?

    Tấn công VLAN hopping cho phép lưu lượng từ một VLAN truy cập tới những vlan khác mà không cần định tuyến. Một attacker có thể sự dụng vlan hopping attack để nghe trôm traffic trên các vlan khác.

    Có 2 kiểu tấn công VLAN hopping là: Switch spoofing double tagging.

    1. Switch Spoofing
    Mặc định switch cicso mang tất cả những traffic của tất cả các vlan. Vì vậy nếu một haker có thể thâm nhập vào một switch đi vào trunking mode, attacker có thể nhìn thấy tất cả các traffic trên tất cả các vlan. Trong một vài trường hợp kiểu tấn công này có thể sử dụng để tìm kiếm username và password credential, để hacker sử dụng cho lần tấn công sau.

    Một vài dòng switch cicso mặc định để auto mode trunking. Cái này có ý nghĩa rằng những port tự động trở thành trunking port nếu nó nhận DTP frame ( Dynamic trunking protocol). Một haker có thể thực hiện biến cổng switch của anh ấy thành cổng trunking mode. Bằng cách cài phần mềm trên máy tính lừa gạt DTP frame hoặc kết nối 1 switch giả tới cổng của anh ấy.

    Để chống lại switch spoofing, bạn có thể tắt trunking trên tất cả những port không yêu cầu thực hiện mode trunks và tắt DTP trên những cổng ko cần trở thành trunk port.

    Disable Trunking
    Switch (config)# interface gigaethernet 0/3
    Switch (config -if)# switchport mode access


    Preventing sử dung DTP (ngăn ngừa sử dụng DTP)
    Switch (config-if)# switchport trunk encapsulationg dot1q
    Switch (config-if)#swtichport mode trunk
    Switch (config-if)#swtichport nonegotiate


    2. Double Tagging

    Trên đường Trunk chuẩn IEEE 802.1Q ,một VLAN được thiết kế là native VLAN. Native vlan không thêm bất kỳ tagging nào tới frame trong quá trình truyền frame từ một switch này đến những switch khác.

    Nếu máy tính của hacker thuộc cùng native vlan, hacker có thể dùng đặc thù của native vlan làm đòn bẩy để gửi traffic, cái mà có hai tag chuẩn 802.1q. Đặc trưng riêng, traffic `s outer tag cho native vlan và traffic inner tag cho vlan đích, cái mà attacker muốn gửi traffic.

    Mô hình: Attacker(VLAN 1) => sw1; sw1=> sw2; sw2 => victim(VLAN 100).

    Attacker gửi dữ liệu từ máy mình vlan1 đến máy victim vlan 100. Do attacker kết nối đến sw1 thuộc native vlan, nên khi dữ liệu qua sw1 sẽ ko bị gắn tag, ở đây outer tag sẽ bị gỡ bỏ trên frame của sw1.Khi frame của sw1 được gửi đến sw2, sw2 sẽ đóng inner tag cho frame. Inner tag ở đây là vlan 100 , vlan của máy victim. Sw2 gửi traffic out tới vlan đích(vlan 100).

    Để ngăn ngừa một tấn công VLAN hopping sử dụng double tagging, không sử dụng native vlan để gửi traffic người dung. Bạn có thực hiện điều này bằng cách tạo 1 native vlan trên tổ chức của bạn không có bất kỳ port nào. Vlan này không sử dụng là duy nhất cho mục đích gán native vlan.

    SW(config-if)# switchport trunk native vlan 400
    Đào Lê Hoàng – VnPro
    Phạm Thanh Đông Khê
    Email: dongkhe@vnpro.org
    Hãy share hoặc like nếu thông tin hữu ích!
    ---------------------------------------------------------------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm, P.25, Q.Bình Thạnh, Tp.HCM
Tel: (08) 35124257 (5 lines)
Fax: (08) 35124314

Home Page: http://www.vnpro.vn
Forum: http://www.vnpro.org
Twitter: https://twitter.com/VnVnpro
LinkedIn: https://www.linkedin.com/in/VnPro
- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Videos: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
FB: http://facebook.com/VnPro
Working...
X