Wenn Sie ein Netzwerk- und Sicherheitsexperte sind, achten Sie auf VLAN-Hopping

Hinweis: Der folgende Artikel hilft Ihnen dabei: Wenn Sie ein Netzwerk- und Sicherheitsexperte sind, achten Sie auf VLAN-Hopping

Einer der entscheidenden Punkte, auf die Sie bei der Verwendung lokaler virtueller Netzwerke achten sollten, ist das Konzept des VLAN-Hoppings. Der obige Begriff bezieht sich auf den Angriff auf Netzwerkressourcen über ein virtuelles lokales Netzwerk.

Auf diese Weise senden Hacker Pakete an einen Port, der für einen Client nicht verfügbar ist. Aus diesem Grund nutzen Hacker den genannten Angriffsvektor, um sich Zugang zu anderen in der Organisation definierten virtuellen lokalen Netzwerken zu verschaffen.

Im VLAN-Hopping Als Angriffsvektor müssen Cyberkriminelle einen der virtuellen Bereiche der Organisation angreifen lokale Netzwerke im ersten Schritt. Dies ermöglicht es ihnen, eine Basis zu definieren, um böswillige Vorgänge im Unternehmensnetzwerk durchzuführen und diese dann für Angriffe auf andere Unternehmen zu nutzen lokale Netzwerke.

Inhaltsverzeichnis

Wie entsteht durch VLAN-Hopping eine Sicherheitslücke im Unternehmensnetzwerk?

  • Leider hängen die meisten Schwachstellen rund um lokale virtuelle Netzwerke direkt mit deren Hauptfunktionen zusammen. Unter den wesentlichen praktischen Funktionen, die lokale virtuelle Netzwerke den Benutzern bieten, sollten die folgenden erwähnt werden:
  • Es ermöglicht Netzwerkadministratoren, den Segmentierungsprozess eines geswitchten Netzwerks entsprechend den Leistungs- und Sicherheitsanforderungen der Systeme durchzuführen, ohne dass eine neue Verkabelung oder grundlegende Änderungen an der Netzwerkinfrastruktur erforderlich sind.
  • Es verbessert die Gesamtleistung des Netzwerks, indem Geräte, die kontinuierlich miteinander kommunizieren, gruppiert werden, sodass die Clients jeder Gruppe über ihre Kapazität verfügen und diese nutzen können.
  • Es trägt dazu bei, die Sicherheit in größeren Netzwerken zu verbessern, indem es Netzwerkadministratoren mehr Kontrolle darüber gibt, wie Geräte miteinander kommunizieren.
  • Virtuelle LANs verbessern die Sicherheit erheblich, indem sie Benutzer in ihre Gruppen aufteilen. In diesem Fall haben Benutzer nur Zugriff auf die Netzwerke, auf die sie aufgrund ihrer jeweiligen Rolle zugreifen dürfen. Wenn Hacker außerdem Zugriff auf ein virtuelles lokales Netzwerk erhalten, können sie kriminelle Operationen nur in diesem Netzwerk durchführen.
  • Sobald Hacker jedoch Zugriff auf lokale Unternehmensnetzwerke erhalten, können sie schnell Lücken in Sicherheitsprotokollen ausnutzen und die vollständige Kontrolle über das Web erlangen.
  • Virtuelle LANs verwenden eine Technik namens Trunking, bei der die Switches im virtuellen LAN so programmiert sind, dass sie nach bestimmten Kanälen zum Senden oder Empfangen von Daten suchen. Hacker nutzen das genannte Verfahren, um andere im Organisationsnetzwerk definierte virtuelle lokale Netzwerke zu infiltrieren.
  • Eine weitere Funktion, die Hackern das VLAN-Hopping bietet, ist der Diebstahl von Passwörtern und vertraulichen Informationen von Mitarbeitern oder Kunden, deren Informationen in Unternehmensnetzwerken registriert sind. Darüber hinaus können Hacker diese Sicherheitslücke nutzen, um Daten zu ändern oder zu löschen, Malware zu installieren und Viren, Würmer und Trojaner über das Internet zu verbreiten.

Wie wird der VLAN-Hopping-Angriffsvektor implementiert?

In den meisten Fällen verwenden Hacker eine der beiden folgenden Methoden, um eine zu implementieren VLAN-Hopping-Angriff:

Lesen:  Was ist ein Dateiserver und wie funktioniert er?

Doppelte Markierung

Ein Double-Tagging-Angriffsvektor liegt vor, wenn Hacker schädliche Tags zu Ethernet-Frames hinzufügen und diese ändern. In diesem Fall können Hacker mehrere Schalter verwenden, die Tags verarbeiten, um ihre Ziele zu erreichen. In diesem Fall ist es möglich, Pakete über jedes virtuelle lokale Netzwerk an ein anderes virtuelles lokales Netzwerk zu senden, ohne dass ein natives Label im Trunk vorhanden ist.

In diesem Fall senden Hacker Daten über einen Switch an einen anderen, indem sie Frames mit zwei 802.1Q-Tags senden. Genauer gesagt wird eine Kopie der Informationen an den Hacker-Switch und die andere an den Opfer-Switch gesendet.

Der obige Mechanismus lässt das Opfer glauben, dass es den Frame erhalten hat, auf den es wartet. Als nächstes leitet der Ziel-Switch den Frame an den Opfer-Port weiter. Die meisten Switches entfernen das äußere Etikett, bevor sie den Frame an alle nativen VLAN-Ports senden.

Da eine Kapselung des Rückpakets nicht möglich ist, führt diese Sicherheitslücke zu einem einseitigen Angriff. Der obige Angriff kann natürlich nur durchgeführt werden, wenn der Hacker Mitglied desselben Trunks des virtuellen lokalen Netzwerks ist. Wenn beispielsweise ein Netzwerk-Switch im Auto-Trunking-Modus konfiguriert ist, kann ein Hacker ihn in einen Knopf verwandeln, der ständig einen Trunk benötigt, um auf alle VLANs am Trunk-Port zuzugreifen.

Switch-Spoofing

Der zweite Angriffsvektor, den Hacker nutzen, ist Switch-Spoofing. Dieser Angriffsvektor tritt auf, wenn ein Hacker DTP-Pakete sendet, um einen Trunk mit einem Switch auszuhandeln. Dieser Modus ist nur möglich, wenn die Schaltmodi „Dynamisch wünschenswert“ oder „Dynamisch automatisch“ sind. Der Hacker kann auf alle lokalen virtuellen Daten zugreifen Netzwerke, wenn die Box an einen Computer angeschlossen ist. Leider ist dies ein Fehler, den einige Netzwerkexperten machen. Beachten Sie immer, dass Schnittstellen nicht für die Verwendung dynamischer Switch-Port-Modi konfiguriert werden sollten.

Lesen:  So fügen Sie mit PublishPress-Blöcken mehr zu WordPress Gutenberg hinzu

Netzwerksicherheitstools

Yersinia ist eines der beliebtesten Netzwerksicherheitstools für Linux-Betriebssysteme. Sicherheitsexperten haben Zugriff auf eine Reihe von Tools, die zur Identifizierung von Angriffsschwachstellen zur Verfügung stehen. Diese Tools helfen Ihnen, Probleme mit Ihrem virtuellen LAN zu finden. Es ermöglicht auch Schwachstellen im Cisco Discovery Protocol, Cisco Inter-Switch Link, DTP, Dynamic Host Configuration Protocol, Hot Standby Router Protocol, IEEE 802.1Q, IEEE 802.1X, Spanning Tree und VLAN Trunk Protocol.

Wie kann ein VLAN-Hopping-Angriff verhindert werden?

Einer der wichtigsten Schritte zum Schutz Ihres Netzwerks vor a VLAN-Hopping Der Angriff besteht darin, ungenutzte Schnittstellen zu schließen und sie in einem isolierten VLAN zu platzieren.

Sie sollten kein virtuelles LAN an Trunk-Ports verwenden, es sei denn, es gibt keine andere Möglichkeit. Außerdem müssen Zugriffsports manuell mit Switchport-Modus-Zugriff konfiguriert werden.

Die richtige Switch-Konfiguration spielt eine wichtige Rolle bei der Reduzierung der Auswirkungen von Switch-Spoofing und Double-Tagging. Um das Risiko von Switch-Spoofing zu verringern, schalten Sie die DTP-Auto-Trunking-Funktion auf allen Switches aus, die kein Trunking erfordern. Außerdem sollten Ports, die keine Trunks sein sollen, als Zugangsports konfiguriert werden.

Vermeiden Sie außerdem doppelte Markierungen. Stellen Sie daher sicher, dass die Hosts nicht im Standard-Ethernet-VLAN oder VLAN 1 platziert sind. Das native virtuelle LAN verwendet nicht an jedem Trunk-Port eine VLAN-ID. Aktivieren Sie explizites natives VLAN-Tagging für alle Trunk-Ports.