El salto de VLAN es un exploit de seguridad informática , un método para atacar recursos en red en una LAN virtual (VLAN). El concepto básico detrás de todos los ataques de salto de VLAN es que un host atacante en una VLAN obtenga acceso al tráfico de otras VLAN al que normalmente no sería accesible. Hay dos métodos principales de salto de VLAN: suplantación de conmutador y etiquetado doble . Ambos vectores de ataque se pueden mitigar con una configuración adecuada del puerto del switch.
En un ataque de suplantación de conmutador, un host atacante imita un conmutador troncal [1] hablando los protocolos de etiquetado y troncalización (por ejemplo, protocolo de registro de VLAN múltiple , IEEE 802.1Q , protocolo troncal dinámico ) utilizados para mantener una VLAN. El host atacante puede acceder al tráfico de múltiples VLAN.
La suplantación de conmutadores sólo se puede explotar cuando las interfaces están configuradas para negociar una troncal. Para evitar este ataque en Cisco IOS , utilice uno de los siguientes métodos: [2] : 163
1. Asegúrese de que los puertos no estén configurados para negociar troncales automáticamente desactivando DTP :
Switch (config-if)# switchport no negociable
2. Asegúrese de que los puertos que no están destinados a ser troncales estén configurados explícitamente como puertos de acceso.
Switch (config-if)# acceso al modo switchport
En un ataque de doble etiquetado, un atacante conectado a un puerto habilitado para 802.1Q antepone dos etiquetas VLAN a una trama que transmite. La trama (etiquetada externamente con el ID de VLAN de la que realmente es miembro el puerto del atacante) se reenvía sin la primera etiqueta porque es la VLAN nativa de una interfaz troncal. La segunda etiqueta es entonces visible para el segundo interruptor que encuentra el marco. Esta segunda etiqueta VLAN indica que la trama está destinada a un host de destino en un segundo conmutador. Luego, la trama se envía al host de destino como si se originara en la VLAN de destino, evitando de manera efectiva los mecanismos de red que aíslan lógicamente las VLAN entre sí. [3] Sin embargo, las posibles respuestas no se reenvían al host atacante (flujo unidireccional).
El etiquetado doble sólo se puede explotar en puertos de switch configurados para usar VLAN nativas . [2] : 162 puertos troncales configurados con una VLAN nativa no aplican una etiqueta VLAN al enviar estas tramas. Esto permite que el siguiente conmutador lea la etiqueta VLAN falsa de un atacante. [4]
El doble etiquetado se puede mitigar mediante cualquiera de las siguientes acciones (incluido el ejemplo de IOS):
Switch (config-if) # acceso al puerto de conmutación vlan 2
Switch (config-if)# switchport troncal nativo vlan 999
Switch(config)# etiqueta vlan dot1q nativa
Como ejemplo de un ataque de doble etiquetado, considere un servidor web seguro en una VLAN llamada VLAN2. Los hosts en VLAN2 pueden acceder al servidor web; Los hosts externos a VLAN2 están bloqueados por filtros de capa 3. Un host atacante en una VLAN separada, llamada VLAN1 (Nativa), crea un paquete especialmente formado para atacar el servidor web. Coloca un encabezado que etiqueta el paquete como perteneciente a VLAN2 debajo del encabezado que etiqueta el paquete como perteneciente a VLAN1. Cuando se envía el paquete, el conmutador ve el encabezado VLAN1 predeterminado, lo elimina y reenvía el paquete. El siguiente conmutador ve el encabezado de VLAN2 y coloca el paquete en VLAN2. De este modo, el paquete llega al servidor de destino como si hubiera sido enviado desde otro host en VLAN2, ignorando cualquier filtrado de capa 3 que pueda existir. [5]