Gli switch Cisco sono vulnerabili all'hopping VLAN? Utilizziamo gli switch Layer 2+ e Layer 3 in un ambiente rigido. Sono switch della serie IE-3000 e IE-4000.
Vogliamo eseguire una scansione delle vulnerabilità su molti livelli, ma siamo preoccupati principalmente dell'hopping VLAN poiché ciascuna VLAN dovrebbe essere seriamente separata l'una dall'altra.
TLDR; Prevenzione:
Non consentire alle porte di negoziare il trunk con qualsiasi dispositivo che lo richieda.
Non inserire host nella VLAN nativa
Ho fatto dimostrazioni in passato su Vlan Hopping e questo di solito dipende dalla configurazione dei dispositivi e dalla serie di interruttori.
Ad esempio, nella famiglia di switch Cisco di Catalyst, DTP è impostato su "desiderabile" per impostazione predefinita, il che significa che è pronto per il trunk e tutto ciò che devi fare è dire a quella porta che vuoi il trunk e lo creerà trunk link e negoziare il protocollo di incapsulamento (Solitamente 802.1Q). L'ho dimostrato usando uno strumento chiamato Yersinia.
Alcune famiglie di dispositivi Cisco non utilizzano nemmeno il DTP e utilizzano un processo e / o un protocollo diverso per la negoziazione di un collegamento trunk.
Un'altra variabile che deve venire insieme per questo attacco è l'uso della VLAN nativa.
Un modo semplice per prevenire tale attacco è non posizionare nessun host nella VLAN nativa e / o impostare la modalità DTP su non negoziabile.
Nel complesso, dovrai verificare se la serie IE utilizza DTP. Se non lo fa, ma utilizza qualcosa di simile, assicurati che le tue porte non si colleghino automaticamente con qualsiasi dispositivo che lo richieda. Questo essenzialmente impedirebbe a un dispositivo non autorizzato di trunking e di inviare pacchetti a doppio incapsulamento che devono anche fare uso della VLAN nativa.
Affermare che i tuoi dispositivi sono vulnerabili o meno è difficile senza vedere la configurazione, ma i metodi sopra riportati aiutano a prevenire il successo dell'attacco.
Leggi altre domande sui tag vlans cisco vlan-hopping