Wenn Sie ein Netzwerk- und Sicherheitsexperte sind, achten Sie auf VLAN-Hopping.

Hinweis: Der folgende Artikel hilft Ihnen dabei: Wenn Sie ein Netzwerk- und Sicherheitsexperte sind, achten Sie auf VLAN-Hopping.

Einer der entscheidenden Punkte, auf die Sie bei der Verwendung lokaler virtueller Netzwerke achten sollten, ist das Konzept des VLAN-Hoppings.

Der obige Begriff bezieht sich auf den Angriff auf Netzwerkressourcen über ein virtuelles lokales Netzwerk. Auf diese Weise senden Hacker Pakete an einen Port, der für einen Client nicht verfügbar ist.

Aus diesem Grund nutzen Hacker den genannten Angriffsvektor, um sich Zugang zu anderen in der Organisation definierten virtuellen lokalen Netzwerken zu verschaffen.

Im VLAN-Hopping Als Angriffsvektor müssen Cyberkriminelle einen der virtuellen Bereiche der Organisation angreifen lokale Netzwerke im ersten Schritt. Dies ermöglicht es ihnen, eine Basis zu definieren, um böswillige Vorgänge im Unternehmensnetzwerk durchzuführen und diese dann für Angriffe auf andere Unternehmen zu nutzen lokale Netzwerke.

Wie entsteht durch VLAN-Hopping eine Sicherheitslücke im Unternehmensnetzwerk?

  • Leider sind die meisten Schwachstellen rund um lokale virtuelle Netzwerke vorhanden Netzwerke stehen in direktem Zusammenhang zu ihren Hauptmerkmalen. Zu den wesentlichen praktischen Funktionen gehört die lokale virtuelle Netzwerke den Nutzern zur Verfügung stellen, sollte Folgendes erwähnt werden:
  • Es ermöglicht Netzwerkadministratoren, den Segmentierungsprozess eines geswitchten Netzwerks entsprechend den Leistungs- und Sicherheitsanforderungen der Systeme durchzuführen, ohne dass eine neue Verkabelung oder grundlegende Änderungen an der Netzwerkinfrastruktur erforderlich sind.
  • Es verbessert die Gesamtleistung des Netzwerks, indem Geräte, die kontinuierlich miteinander kommunizieren, gruppiert werden, sodass die Clients jeder Gruppe über ihre Kapazität verfügen und diese nutzen können.
  • Es trägt dazu bei, die Sicherheit in größeren Netzwerken zu verbessern, indem es Netzwerkadministratoren mehr Kontrolle darüber gibt, wie Geräte miteinander kommunizieren.
  • Virtuelles LAN erheblich Verbessert die Sicherheit, indem Benutzer in ihre Gruppen aufgeteilt werden. In diesem Fall haben Benutzer nur Zugriff auf die Netzwerke, auf die sie aufgrund ihrer jeweiligen Rolle zugreifen dürfen. Wenn Hacker außerdem Zugriff auf ein virtuelles lokales Netzwerk erhalten, können sie kriminelle Operationen nur in diesem Netzwerk durchführen.
  • Sobald Hacker jedoch Zugriff auf lokale Unternehmen erhalten Netzwerkekönnen sie Lücken in Sicherheitsprotokollen schnell ausnutzen und die vollständige Kontrolle über das Web erlangen.
  • Virtuelle LANs verwenden eine Technik namens Trunking, bei der die Switches im virtuellen LAN so programmiert werden, dass sie nach bestimmten Kanälen zum Senden oder Empfangen von Daten suchen. Hacker nutzen das genannte Verfahren, um andere virtuelle Systeme zu infiltrieren lokale Netzwerke im Organisationsnetzwerk definiert.
  • Ein weiteres Feature, das VLAN-Hopping bietet Für Hacker bedeutet das Stehlen von Passwörtern und sensiblen Informationen von Mitarbeitern oder Kunden, deren Informationen in Unternehmensnetzwerken registriert sind. Darüber hinaus können Hacker diese Sicherheitslücke nutzen, um Daten zu ändern oder zu löschen, Malware zu installieren und Viren, Würmer und Trojaner über das Internet zu verbreiten.
Lesen:  So verwenden Sie die strukturierten Yoast-Datenblöcke in WordPress

Wie wird der VLAN-Hopping-Angriffsvektor implementiert?

In den meisten Fällen verwenden Hacker eine der beiden folgenden Methoden, um eine zu implementieren VLAN-Hopping-Angriff:

Doppelte Markierung

Ein Double-Tagging-Angriffsvektor liegt vor, wenn Hacker schädliche Tags zu Ethernet-Frames hinzufügen und diese ändern. In diesem Fall können Hacker mehrere Schalter verwenden, die Tags verarbeiten, um ihre Ziele zu erreichen. In diesem Fall ist es möglich, Pakete über jedes virtuelle lokale Netzwerk an ein anderes virtuelles lokales Netzwerk zu senden, ohne dass ein natives Label im Trunk vorhanden ist.

In diesem Fall senden Hacker Daten über einen Switch an einen anderen, indem sie Frames mit zwei 802.1Q-Tags senden. Genauer gesagt wird eine Kopie der Informationen an den Hacker-Switch und die andere an den Opfer-Switch gesendet.

Der obige Mechanismus lässt das Opfer glauben, dass es den Frame erhalten hat, auf den es wartet. Als nächstes leitet der Ziel-Switch den Frame an den Opfer-Port weiter. Die meisten Switches entfernen das äußere Etikett, bevor sie den Frame an alle nativen VLAN-Ports senden.

Da eine Kapselung des Rückpakets nicht möglich ist, führt diese Sicherheitslücke zu einem einseitigen Angriff. Der obige Angriff kann natürlich nur durchgeführt werden, wenn der Hacker Mitglied desselben Trunks des virtuellen lokalen Netzwerks ist. Wenn beispielsweise ein Netzwerk-Switch im Auto-Trunking-Modus konfiguriert ist, kann ein Hacker ihn in einen Knopf verwandeln, der ständig einen Trunk benötigt, um auf alle VLANs am Trunk-Port zuzugreifen.

Switch-Spoofing

Der zweite Angriffsvektor, den Hacker nutzen, ist Switch-Spoofing. Dieser Angriffsvektor tritt auf, wenn ein Hacker DTP-Pakete sendet, um einen Trunk mit einem Switch auszuhandeln. Dieser Modus ist nur möglich, wenn die Schaltmodi „Dynamisch wünschenswert“ oder „Dynamisch automatisch“ sind. Der Hacker kann auf alle lokalen virtuellen Daten zugreifen Netzwerke, wenn die Box an einen Computer angeschlossen ist. Leider ist dies ein Fehler, den einige Netzwerkexperten machen. Beachten Sie immer, dass Schnittstellen nicht für die Verwendung dynamischer Switch-Port-Modi konfiguriert werden sollten.

Lesen:  Welche Server-Hardwarekomponenten sind sehr wichtig?

Netzwerksicherheitstools

Yersinia ist eines der beliebtesten Netzwerksicherheitstools für Linux-Betriebssysteme. Sicherheitsexperten haben Zugriff auf eine Reihe von Tools, die zur Identifizierung von Angriffsschwachstellen zur Verfügung stehen. Diese Tools helfen Ihnen, Probleme mit Ihrem virtuellen LAN zu finden. Es ermöglicht auch das Auffinden von Schwachstellen im Cisco Discovery Protocol, Cisco Inter-Switch Link, DTP, Dynamic Host Configuration Protocol, Hot Standby Router Protocol, IEEE 802.1Q, IEEE 802.1X, Spanning Tree Protocol und VLAN Trunk Protocol.

Wie kann ein VLAN-Hopping-Angriff verhindert werden?

Einer der wichtigsten Schritte zum Schutz Ihres Netzwerks vor a VLAN-Hopping Der Angriff besteht darin, ungenutzte Schnittstellen zu schließen und sie in einem isolierten VLAN zu platzieren.

Es wäre am besten, wenn Sie kein virtuelles LAN an Trunk-Ports verwenden würden, es sei denn, es gibt keine andere Möglichkeit. Außerdem müssen Zugriffsports manuell mit Switchport-Modus-Zugriff konfiguriert werden.

Die richtige Switch-Konfiguration spielt eine wichtige Rolle bei der Reduzierung der Auswirkungen von Switch-Spoofing und Double-Tagging. Um das Risiko von Switch-Spoofing zu verringern, schalten Sie die DTP-Auto-Trunking-Funktion auf allen Switches aus, die kein Trunking erfordern. Außerdem sollten Ports, die keine Trunks sein sollen, als Zugangsports konfiguriert werden.

Vermeiden Sie außerdem doppelte Markierungen. Stellen Sie daher sicher, dass die Hosts nicht im Standard-Ethernet-VLAN oder VLAN 1 platziert sind. Das native virtuelle LAN verwendet nicht an jedem Trunk-Port eine VLAN-ID. Aktivieren Sie explizites natives VLAN-Tagging für alle Trunk-Ports.