В сетевой безопасности VLAN-сегментация играет ключевую роль. Однако, даже при использовании продвинутых технологий, таких как коммутаторы Cisco Catalyst 2960, существуют методы обхода этой защиты, которые могут стать серьезной угрозой для безопасности сети. Давайте рассмотрим инструмент для обхода VLAN-сегментации (Cisco 2960) — Above.
Еще по теме: MITM-атака в локальной сети
Обход VLAN-сегментации (Cisco 2960) с помощью Above
Внутри локальной сети атакующий может случайно напороться на транковый порт. Чаще всего такое случается с коммутаторами Cisco, за которыми недостаточно доглядели в продакшене и не настроили как следует. Главная проблема в том, что в коммутаторах Cisco 2960 по умолчанию все порты включены и находятся в режиме DTP Dynamic Auto. Это может повлечь за собой атаку VLAN Hopping, при которой атакующий выполняет инъекцию кадра DTP Desirable.
Инструмент Above позволит обнаружить теги 802.1Q на транковом порте коммутатора. Затем атакующий, зная о VLAN ID, создаст виртуальные VLAN-интерфейсы и прыгнет в другой VLAN-сегмент.
1 2 |
sudo apt install above sudo above --interface eth0 --timer 300 |
Также сниффинг кадров 802.1Q будет очень полезен при компрометации гипервизора, поскольку обычно гипервизор и находится на транковых каналах.
Защита от обхода VLAN-сегментации (Cisco 2960)
Путем использования функции Port Security можно ограничить количество MAC-адресов, разрешенных на каждом порту коммутатора, что предотвратит подключение несанкционированных устройств к сети.
- Отключение DTP на всех портах, которые не должны быть в режиме транка, поможет предотвратить атаки VLAN Hopping, связанные с манипуляциями тегированными кадрами.
- Настройка VACLs позволяет фильтровать трафик на уровне VLAN, что позволяет более гранулированно контролировать, какие кадры разрешены или запрещены для каждого VLAN.
- Постоянный мониторинг сетевого трафика с помощью средств, таких как IDS (Intrusion Detection System) или SIEM (Security Information and Event Management), поможет выявить аномальное поведение и атаки, связанные с обходом VLAN-сегментации.
Заключение
Обход VLAN-сегментации на коммутаторах Cisco представляет серьезную угрозу для безопасности сети, но с правильными мерами защиты и постоянным мониторингом можно существенно снизить риск возникновения подобных атак. Внедрение многоуровневой стратегии безопасности, включая настройку безопасных параметров коммутаторов и регулярное обновление системных настроек, играет ключевую роль в обеспечении стабильности и надежности сетевой инфраструктуры.
ПОЛЕЗНЫЕ ССЫЛКИ: