El salto de VLAN es un exploit de seguridad informática , un método para atacar recursos en red en una LAN virtual (VLAN). El concepto básico detrás de todos los ataques de salto de VLAN es que un host atacante en una VLAN obtenga acceso al tráfico en otras VLAN que normalmente no serían accesibles. Hay dos métodos principales de salto de VLAN: suplantación de switch y etiquetado doble . Ambos vectores de ataque se pueden mitigar con una configuración adecuada del puerto del switch.
En un ataque de suplantación de conmutador, un host atacante imita un conmutador troncal [1] al pronunciar los protocolos de etiquetado y troncalización (por ejemplo, Protocolo de registro de VLAN múltiple , IEEE 802.1Q , Protocolo de troncalización dinámica ) utilizados para mantener una VLAN. El host atacante puede acceder entonces al tráfico de varias VLAN.
La suplantación de conmutadores solo se puede aprovechar cuando las interfaces están configuradas para negociar un enlace troncal. Para evitar este ataque en Cisco IOS , utilice uno de los siguientes métodos: [2] : 163
1. Asegúrese de que los puertos no estén configurados para negociar troncales automáticamente deshabilitando DTP :
Cambiar (config-if)# switchport nonegotiate
2. Asegúrese de que los puertos que no están destinados a ser troncales estén configurados explícitamente como puertos de acceso.
Cambiar (config-if)# modo switchport acceso
En un ataque de doble etiquetado, un atacante conectado a un puerto habilitado para 802.1Q antepone dos etiquetas VLAN a una trama que transmite. La trama (etiquetada externamente con el ID de VLAN de la que el puerto del atacante es realmente miembro) se reenvía sin la primera etiqueta porque es la VLAN nativa de una interfaz troncal. La segunda etiqueta es visible para el segundo conmutador que encuentra la trama. Esta segunda etiqueta VLAN indica que la trama está destinada a un host de destino en un segundo conmutador. La trama se envía entonces al host de destino como si se hubiera originado en la VLAN de destino, omitiendo de manera efectiva los mecanismos de red que aíslan lógicamente las VLAN entre sí. [3] Sin embargo, las posibles respuestas no se reenvían al host atacante (flujo unidireccional).
El etiquetado doble solo se puede explotar en puertos de conmutador configurados para usar VLAN nativas . [2] : 162 Los puertos troncales configurados con una VLAN nativa no aplican una etiqueta VLAN al enviar estos marcos. Esto permite que el siguiente conmutador lea la etiqueta VLAN falsa de un atacante. [4]
El doble etiquetado se puede mitigar mediante cualquiera de las siguientes acciones (incluido el ejemplo de IOS):
Conmutador (config-if)# switchport access vlan 2
Conmutador (config-if)# switchport trunk native vlan 999
Switch(config)# vlan dot1q etiqueta nativa
Como ejemplo de un ataque de doble etiquetado, considere un servidor web seguro en una VLAN llamada VLAN2. Los hosts en VLAN2 tienen permitido el acceso al servidor web; los hosts de fuera de VLAN2 están bloqueados por filtros de capa 3. Un host atacante en una VLAN separada, llamada VLAN1(Native), crea un paquete especialmente formado para atacar al servidor web. Coloca un encabezado que etiqueta el paquete como perteneciente a VLAN2 debajo del encabezado que etiqueta el paquete como perteneciente a VLAN1. Cuando se envía el paquete, el conmutador ve el encabezado VLAN1 predeterminado y lo elimina y reenvía el paquete. El siguiente conmutador ve el encabezado VLAN2 y coloca el paquete en VLAN2. El paquete llega así al servidor de destino como si se hubiera enviado desde otro host en VLAN2, ignorando cualquier filtrado de capa 3 que pueda estar en su lugar. [5]