УДК 004.725.5
Стрельцов Д.С студент специалитета
Бутенко Е.А студент специалитета Российский государственный университет нефти и газа (НИУ) имени И.М Губкина, г.Москва
VLAN ID ENUMERATION. МЕТОДЫ ЗАЩИТЫ
Аннотация: Статья посвящена анализу методов защиты при использовании VLAN (Virtual Local Area Network). Рассматриваются основные угрозы безопасности, связанные с управлением VLAN, а также способы их минимизации. Особое внимание уделено методам защиты от атак, использующих подмену тегов и перехват данных. Представлены разные подходы к защите и предложены рекомендации по предотвращению атак и повышению устойчивости сетей к угрозам.
Ключевые слова: VLAN, атака, защита, VLANID
Streltsov D. S.
Butenko E.A. students of the specialty Gubkin Russian State University of Oil and Gas, Moscow
VLAN ID ENUMERATION. PROTECTION METHODS
Abstract: The article is devoted to the analysis of protection methods when using VLAN (Virtual Local Area Network). The main security threats related to VLAN management are considered, as well as ways to minimize them. Special attention is paid to methods of protection against attacks using tag substitution and data interception. Different approaches to protection are presented and recommendations for preventing attacks and increasing the resilience of networks to threats are proposed.
Key words: VLAN, attack, protection, VLANID
ВВЕДЕНИЕ
С развитием технологий виртуализации и сегментации сетевой инфраструктуры с использованием VLAN, проблема обеспечения безопасности становится все более важной. VLAN позволяет разделить физическую сеть на несколько логических сегментов, что помогает улучшить управление трафиком, повысить безопасность и снизить нагрузку на сеть. Однако, несмотря на множество преимуществ, VLAN создаёт новые возможности для атак, с помощью которого злоумышленники могут выявить
все существующие VLAN в сети. Тема защиты от атак с использованием остаётся актуальной для обеспечения безопасности в современных сетях, что делает её важной как для теоретического изучения, так и для практического применения в реальных условиях.
Стоит сразу отметить, что использование VLAN возможно только на управляемых коммутаторах. VLAN служат для эффективного разделения сетей, что приводит к возникновению определенного идентификатора, используемого для маркировки трафика различных подсетей на коммутаторе. Для этой цели применяется стандарт 802.1q, который определяет процедуру маркировки или тегирования кадров.
Объект исследования: Сетевые инфраструктуры, использующие VLAN (в данной статье рассмотрены коммутаторы cisco, eltex, mikrotik).
Предмет исследования: Методы защиты VLAN от угроз и атак.
Цель исследования: Разработка рекомендаций и анализ методов защиты по обеспечению безопасности при использовании VLAN.
IEEE 802.1Q
Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. В кадр Ethernet вставляется маркер (tag), в котором указывается идентификатор VLAN, принимающий значение от 1 до 4094 (номера 0 и 4095 зарезервированы для специальных целей). Такой кадр называется маркированным (или тегированным, tagged). Тег занимает 4 байта. Он состоит из TPID (Tag Protocol Identifier, 2 байта), 802.1p (поле приоритета - 3 бита, также называемое Priority Code Point (PCP)), CFI (1 бит) и VID (идентификатор VLAN - 12 бит).
RFC 5517
«Cisco Systems' Private VLANs: Scalable Security in a Multi-Client Environment». Документ описывает механизм изоляции устройств с помощью специальных ограничений пересылки на втором уровне. Такой механизм позволяет конечным устройствам использовать одну и ту же подсеть IP, будучи изолированными на втором уровне, что позволяет сетевым инженерам использовать более крупные подсети и снижать затраты на управление адресами. В данном RFC описан механизм Q-in-Q VLAN stacking — технология вложенных VLAN, также известная как Provider Bridging или Stacked VLANs.
RFC 3069
Это документ, который вводит концепцию агрегации VLAN в контексте распределения адресов IPv4. В нём описан механизм, при котором хосты, находящиеся в одной физической инфраструктуре, но в разных виртуальных широковещательных доменах, адресуются из одной подсети IPv4 и имеют общий IP-адрес шлюза по умолчанию, что устраняет необходимость в отдельной подсети IP для каждой виртуальной локальной или metropolitan area network (MAN).
RFC 7348
Документ не описывает напрямую VLAN, в нем представлен протокол VXLAN, который используется для создания виртуальных сетей поверх IP-инфраструктуры, часто в дата-центрах. VLAN
Виртуальной локальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, полностью изолирован от других узлов сети на канальном уровне. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна независимо от типа адреса (индивидуального, группового или широковещательного). В то же время внутри виртуальной сети кадры передаются по технологии коммутации, т. е. только на тот порт, который связан с адресом назначения кадра. Таким образом, с помощью виртуальных сетей решается проблема распространения широковещательных кадров и вызываемых ими следствий, которые могут приводить к широковещательным штормам и существенно снижать производительность сети. VLAN обладают следующими преимуществами:
1. гибкость внедрения — VLAN являются эффективным способом группировки сетевых узлов в виртуальные рабочие группы независимо от их физического размещения в сети;
2. ограничивают распространение широковещательного трафика, что увеличивает полосу пропускания, доступную для пользователя;
3. позволяют повысить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.
VLAN ID Enumeration
Нумерация делится на два диапазона:
1. Нормальный диапазон. Используется в малых, средних и больших сетях. Нумерация начинается от 1 до 1005. Идентификаторы с 1002 до 1005 зарезервированы для устаревших сетей (Token Ring, FDDI).
2. Расширенный диапазон. Используется провайдерами и очень большими компаниями. Нумерация начинается с 1006 по 4094.
Порты VLAN
1. Access-порты предназначены для подключения конечных узлов в сети, таких как компьютеры или конечные устройства. Эти порты образуют нетегированный поток данных, что означает, что кадры, проходящие через них, не содержат информации о VLAN.
2. Trunk-порты обеспечивают линию связи между двумя коммутаторами или между коммутатором и маршрутизатором. Эта линия, называемая транком, транспортирует поток данных от нескольких VLAN. На транковых портах происходит тегирование кадров с метками VLAN ID, что позволяет принимающей стороне различать.
Native VLAN
Понятие в стандарте 802.1Q, которое обозначает VLAN на коммутаторе, где все кадры идут без тэга, то есть трафик передаётся нетегированным. По умолчанию это VLAN 1. Нужен он для совместимости с устройствами, незнакомыми с инкапсуляцией 802.1q.
Атаки на VLAN
1. VLAN-spoofing или атака на DTP-протокол. Данная атака работает на коммутаторах Cisco с поддержкой протокола DTP (Dynamic Trunking Protocol) могут автоматически согласовывать тип порта в режим trunk. Используя протокол DTP и «недонастроенный» коммутатор, атакующий ПК может получить доступ ко всем VLAN, присутствующим на коммутаторе.
2. Атака при помощи Native VLAN. Эта атака связана с тем, что коммутатор «из коробки» сконфигурирован так — видя, что к нему пришёл нетегированный фрейм, помещает его автоматически в Native VLAN и далее передаёт его в место назначения. Попадая на другой коммутатор, фрейм без тега помещается в его Native VLAN и так далее. Таким образом возможно получить доступ к ряду хостов. По умолчанию Native VLAN - это VLAN 1. Защититься можно следующим образом: назначаем на всех trunk-портах неиспользуемый VLAN в качестве native: SW(config-if)# switchport trunk native vlan 999 Теперь атака неосуществима, так как VLAN 999 не относится ни к одному из access-портов.
3. Атака с двойным тэгированием. Связана с уязвимостью многих коммутаторов, которые поддерживают стандарт 802.1Q. Механизм данной атаки заключается в том, что на access-порт приходит фрейм с двумя тегами, один из которых соответствует Native VLAN данного коммутатора, а другой тег соответствует VLAN, в которую хочет попасть атакующий. И если в trunk-соединение между коммутаторами включен Native VLAN (по умолчанию он, как правило, включен), то коммутатор передаст данный пакет со вторым тегом, отбросив первый.
Рис. 1. Пример атаки типа с двойным тегированием
АТАКА НА НЕНАСТРОЕННОМ КОММУТАТОРЕ CISCO SYSTEMS CATALYST 2960 SERIES.
Описание эксперимента
Гипотеза эксперимента:
Если на коммутаторе Cisco Catalyst 2960 Series VLAN не настроен должным образом, а порты находятся в режиме динамического согласования, принимают DTP (Dynamic Trunking Protocol, DTP), злоумышленник сможет инициировать атаку VLAN Hopping и получить доступ ко всем VLAN на устройстве.
Методика эксперимента:
1. Подключается ПК злоумышленника к порту коммутатора.
2. Анализ трафика на ПК злоумышленника.
3. Злоумышленник отправляет DTP-пакеты, убеждая коммутатор перевести порт в режим транка.
4. В режиме транка злоумышленник получает доступ ко всем VAN, что позволяет ему перехватывать или генерировать трафик для любого VLAN.
Порядок эксперимента:
Используется коммутатор Cisco Catalyst 2960 Series с заводскими настройками. Атака проводится с помощью ПК с установленным приложением Yersenia. ПК злоумышленника подключён к порту коммутатора, находящемуся в режиме dynamic auto или dynamic desirable Анализ трафика будет производиться с помощью Wireshark. На порт, настроенного в режиме согласования посылаются DTP пакеты для настройки порта в режим транк, что даст злоумышленнику доступ ко всем VLAN. ПК жертвы находится во VLAN 20, ПК злоумышленника во VLAN 10. Цель - получить доступ к трафику ПК жертвы.
В утилите выберем DTP протокол.
Рис. 2. Статус порта в программе атакующего ПК
Как мы видим, пока DTP пакеты не посланы, мы не видим трафик жертвы, так как ПК находятся в разных VLAN. Жертва создаёт трафик, пингуя порт коммутатора с ip-адресом 192.168.20.1
& Захват из Ethernet 2
Файл Правка Вид Запуск Захват Анализ Статистика Телефония
Беспроводная связь Инструменты Справка
л M А ® яг ч * Ф 1 I ¥
[Ш 1 ((Kstp)) && ¡(loop)) &8i Kdhcpvô)
No. Time Source Destination Protocol Lengtl Info
48 74.090308 192.168.10 2 224.0.0.251 MDNS 82 Standard query 0x0000 PTR _googlecas ■_tcp local "QM" question
49 74.090737 fe80::bdfe Э011 dab.. ff02::fb MDNS 102 Standard query 0x0000 PTR _googlecas •_tcp local "QM" question
56 74.091232 192.168.10 2 224.0.0.251 MDNS 82 Standard query 0x0000 PTR _googlecas ■_tcp local "QM" question
51 74.091364 fe80::bdfe Э011 dab.. ff02::fb MDNS 102 Standard query 0x0000 PTR _googlecas •_tcp local "QM" question
53 75.096845 192.168.10 2 224.0.0.251 MDNS 82 Standard query 0x0000 PTR _googlecas ■_tcp local "QM" question
54 75.097037 fe80::bdfe 3011 dab.. ff02::fb MDNS 102 Standard query 0x0000 PTR _googlecas ■_tcp local "QM" question
55 75.097597 192.168.10 2 224.0.0.251 MDNS 82 Standard query 0x0000 PTR _googlecas •_tcp local "QM" question
56 75.097833 fe80::bdfe a011 dab.. ff02::fb MDNS 102 Standard query 0x0000 PTR _googlecas ■_tcp local "QM" question
58 77.099880 192.168.10 2 224.0.0.251 MDNS 82 Standard query 0x0000 PTR _goog!ecas ■_tcp local "QM" question
59 77.100040 fe80::bdfe a011 dab.. ff02::fb MDNS 102 Standard query 0x0000 PTR _googlecas ■_tcp local "QM" question
60 77.100368 192.168.10 2 224.0.0.251 MDNS 82 Standard query 0x0000 PTR _googlecas •_tcp local "QM" question
61 77.100486 fe80::bdfe a011 dab. ff02::fb MDNS 102 Standard query 0x0000 PTR _googlecas •_tcp local "QM" question
67 86.428429 Cisco_e2:25:81 CDP/VTP/DTP/PAgP/UD.. CDP 456 Device ID: Switch Port ID: FastEthe net0/l
104 146.433019 Cisco_e2: 25:81 COP/VTP/DTP/PAgP/UD. CDP 456 Device ID: Switch Port ID: FastEthe net0/l
133 192.938720 192.168.10 R 239.255.255 250 SSDP 179 M-SEARCH * HTTP/1.1
136 195.934784 192.168.10 V 239.255.255 250 SSDP 179 M-SEARCH * HTTP/1.1
139 198.937750 192.168.10 2 239.255.255 250 SSDP 179 M-SEARCH « HTTP/1.1
> Frame 9: 198 bytes on wire (1584 bits), 198 bytes captured (1584 bits) on interface \Device\NPF_{B7B4A5-
> Ethernet II, Src: RealtekSemic_68:05:97 (00:e0:4c:68:05:97), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
> Internet Protocol Version 4, Src: 192.168.10.2, Dst: 192.168.10.255
> User Datagram Protocol, Src Port: 27036, Dst Port: 27036 Steam In-Home Streaming Discovery Protocol
0000 ff ff ff ff ff ff 00 e0 4c 68 05 9"
0010 00 Ь8 23 e9 00 00 80 i< 00 00 C0 ai
0020 0a ff 69 9c 69 9c 00 a4 97 07 ff f-
0030 5f a0 17 00 00 00 08 92 86 db d2 f.
0040 01 10 01 18 ae b8 91 bl 83 de a2 fl
0050 00 08 08 10 06 18 9c d3 01 22 0f 4-
0060 4f 50 2d 42 32 44 35 48 54 43 30 0:
Рис. 3. Отслеживание трафика до атаки
Сейчас мы видим только CDP пакеты. Далее включим отсылку DTP пакетов и увидим, что порт перешёл в режим trunk.
Neighbor-ID Status Domain Iface Last seen
O01AE2E22581 ACCESS/DESIRABLI ethO 09 Dec 09:14:13
arirco/.tncnc Arrccc/nccTDAD. I eth0 09 Dec 09:14:23
001AE2E22581 TRUNK/DESIRABLE eth0 09 Dec 09:14:23
- Total Packets: 441 - DTP Packets: 17 - MAC Spoofing [X] -
Source MAC 0C:7C:E8:46:D5:95 Destination MAC 01:00:0C:CC:CC:CC Version 01 Neighbor-ID 0C7CE846D595 Status 03 Type A5 Domain
Рис. 4. Статус порта в программе атакующего ПК
4а Захват из Ethernet 2
Файл Правка Вид Запуск Захват Анализ Статистика Телефония Беспроводная связь Инструменты Справка
4 ш ® х с i: :
I (O(stp)) && ¡(loop)) && !(dhcpv6)
Time
1585 2148.669235 1587 2149.675886 1589 2150.686280
1591 2153.011350
1592 2153.761401 1594 2154.511526
1608 2171.413997
1609 2171.414395
Source
Cisco_e2:25:81
Cisco_e2:25:81
Cisco_e2:25:81
192.168.10.2
192.168.10.2
192.168.10.2
Cisco_e2:25 :C0 Cisco e2:25 :cl
Destination
Protocol Lengtl Info
CDP/VTP/DTP/PAgP/UD... С DP CDP/VTP/DTP/PAgP/UD... С DP CDP/VTP/DTP/PAgP/UD... С DP 192.168.10.255 NBNS
192.168.10.255 NBNS
192.168.10.255 NBNS
456 Device ID 456 Device ID 456 Device ID
Broadcast Broadcast
ARP ARP
Switch Port ID: FastEthernet0/l Switch Port ID: FastEthernet0/l Switch Port ID: FastEthernet0/l 92 Name query NB DESKTOP-B2D5HTC<lc> 92 Name query NB DESKT0P-B2DSHTC<lc> 92 Name query NB DESKTOP-B2D5HTC<lc>
60 Gratuitous ARP for 192.168.0.1 (Reply) 60 Gratuitous ARP for 192.168.10.1 (Reply)
1620 2188.651770 192.168.20.2
192.168.20.1
74 [Echo (ping) reply id=0x0001, seq=44/11264, ttl=255
1630 2202.381068 0c:7c:e8:46:d5:
1635 2208.832658 192.168.10.2
1637 2209.582639 192.168.10.2
1638 2210.333087 192.168.10.2
1639 2210.686726 Cisco e2:25:81
192.168.10.255 192.168.10.255 192.168.10.255
NBNS NBNS NBNS
CDP/VTP/DTP/PAgP/UD... С DP
92 Name query NB DESKTOP-B2D5HTC<lc> 92 Name query NB DESKTOP-B2D5HTC<lc> 92 Name query NB DESKTOP-B2D5HTC<lc>
456 Device ID: Switch Port ID: FastEthernet0/l
> Frame 1620: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface \Device\NPF_{B7B4A54!
> Ethernet II, Src: Cisco_e2:25:c2 (00:la:e2:e2:25:c2), Dst: TPLink_lf: 3d :0e (7c :c2:c6:If : 3d:0e)
> Internet Protocol Version 4, Src: 192.168.20.2, Dst: 192.168.20.1
> Internet Control Message Pr^ocol
Рис. 5. Отслеживание трафика после атаки
0000 7с с2 сб If 3d 0е 00 la
0010 00 Зс db 8с 00 00 ff 01
0020 14 01 00 00 55 2f 00 01
0030 67 68 69 6а 6Ь 6с 6d Бе
0040 77 61 62 63 64 65 66 67
Теперь с ПК злоумышленника мы можем видеть трафик, который идёт с ПК жертвы. Так как порт, к которому подключен злоумышленник стал транков, значит он имеет доступ ко всем VLAN, в данном случае ПК жертвы пингует порт коммутатора, к которому он подключён. Решение проблемы:
Настройка Vlan на Cisco Systems Catalyst 2960 Series. Ниже в таблице 1 приведены команды для настройки Vlan на Cisco.
АТАКА С ДВОЙНЫМ ТЕГИРОВАНИЕМ НА КОММУТАТОРАХ ELTEX MES1428 И MIKROTIK CRS326-24G-2S+RM Описание эксперимента Гипотеза эксперимента:
Если коммутаторы соединены транком, который принимают кадры и помещают их в native VLAN, то, посылая кадры с двумя тегами, первый - с native VLAN ID, второй - с VLAN ID, в котором находится жертва, можно получить доступ к VLAN жертвы и посылать вредоносный трафик. Методика эксперимента:
1. ПК злоумышленника подключен к порту доступа первого коммутатора.
2. Два коммутатора соединены транком, который помещает кадры в NATIVE VLAN.
3. ПК жертвы находится во VLAN 10, подключен ко второму коммутатору к порту доступа.
4. ПК злоумышленника посылает кадры с двумя тегами по стандарту 802.1q и получает возможность отправлять трафик на ПК жертвы. Порядок эксперимента:
Подключаем ПК злоумышленника к порту коммутатора Eltex в режиме доступа. Соединяем коммутаторы Eltex и Mikrotik транком. Подключаем ПК
жертвы к коммутатору Mikrotik к порту доступа во VLAN 10. Используем Wireshark для отслеживания трафика на ПК злоумышленника и Жертвы. С помощью утилиты Yersenia отправляем пакеты с двойным тегом. Цель -получить возможность отправлять трафик на ПК жертвы.
Настроим отправляемые кадры, в выделенных полях выберем теги для нужных нам VLAN: NATIVE VLAN (1), VLAN жертвы (10), также адрес жертвы 192.168.10.22 и адрес злоумышленника 192.168.10.3. Далее выберем отсылку пакеты с двумя тегами по стандарту 802.1 q.
root@l(ali: -
VLAN L2Protol Src IP
0001 802.1Q 10.0.0.1
0001 802.1Q 192.168.10.3
Dst IP IP Prot
255.255.255.255 icmp
192.168.10.22 icmp
Iface Last seen
ethO 25 Dec 10:05:54 eth0 25 Dec 10:21:51
0 sendine 802.10 Dacket
{l sending 802.1Q double enc. packet
2 X sending ЫЛ2 .1(J arp poisoning
Total Packets: 251 - 802.1Q Packets: 33 - MAC Spoofing [X]
Source MAC 0E:5C:49:i9:32:BF Destination MAC FF:FF:FF:FF:FF:FF VLAN 000ilPriority 87 CFI 00 L2Protol 0800 VLAN2 0010 Priority 07 CFI 00 LiPrOtflJ И800 [Src I~192.168.010.003 Dst IP 192.168.010.022 IP Prot 01 Payload YERSIn/хЯ-
Рис. 6. Отправка пакетов с двумя тегами через утилиту
Проверим через Wireshark отправились ли наши пакеты.
43 Захват из Ethernet 5
Файл Правка Вид Запуск Захват Анализ Статистик;
Л [■ д ® 1 г: ч * ф Ш ¥ л -
Телефония Беспроводная связь
I <э. л щ
Инструменты Справка
Щх1х1
1365 2792.557907
1366 2793.307903
1367 2794.058360
192.168.10.12 192.168.10.12 192.168.10.12
1369 2795.557426 192.168.10.12
192.168.10.255 192.168.10.255 192.168.10.255
192.168.10.255
Spanning-tгее-( Spanning-tree-(
Protocol Lengtl Info
. STP 119 MST. Root = 32768/0/00:la:e2:e2:25:80 Cost = 200000 Port = 0x8004
NBNS 92 Name query NB DESKT0P-B2D5HTC<lc>
NBNS 92 Name query NB DESKTOP-B2D5HTC<lc>
NBNS 92 Name query NB DESKTOP-B2D5HTC<lc>
BROWSER 243 Host Announcement DESKT0P-B2D5HTC, Workstation, Server, NT Workstation
1376 2805. .640393 192. .168. .10.3 192. .168. .10. 22 ICMP 60 Echo (ping) request id= =0x0042, seq=66/16896. ttl=64 (no response found!)
1378 2807. .426012 192. .168. .10.3 192. .168. .10. 22 ICMP 60 Echo (ping) request id= =0x0042, seq=66/16896, ttl=64 (no response found!)
1379 2807. .611441 192. .168. .10.3 192. .168. .10. 22 ICMP 60 Echo (ping) request id: =0x0042, seq=66/16896, ttl=64 (no response found!)
1380 2807. .864160 192. .168. .10.3 192, .168. .10. 22 ICMP 60 Echo (ping) request id: =0x0042, seq=66/16896, ttl=64 (no response found!)
1381 2808. .047535 192. .168. .10.3 192. .168. .10. 22 ICMP 60 Echo (ping) request id: =0x0042, seq=66/16896. ttl=64 (no response found!)
2808. .543364 EltexEnterprj Эа : 40 :... Spar îninf >-tr 'ее- (for-.. 119 MST. Root = 32768/0/ : 25 : 80 Cost = -t = 0x80C
1383 2808. .621980 192. .168. .10.3 192.168. .10. 22 ICMP 60 Echo (ping) request id: =0x0042, seq=66/16896, ttl=64 (no response found!)
816.583416
EltexEnterpr_9a:40:. EltexEnterpr_9a: 40 :. Litexl:nterpr_ya : 4t) :. EltexEnterpr_9a: 40 :. EltexEnterpr_9a: 40 :. EltexEnterpr_9a:40:.
ing-tree-(for... STP ing-tree-(for-™ STP ing4ree-t+or-- j, | Ц
ing-tree- (for-... STP ing-tree- (for-... STP ing-tree-(for-... STP ing-tree-(for-... STP
32768/0/ 32768/0/
-
32768/0/00 : la :e2 32768/0/00:la:e2 32768/0/00:la:e2 32768/0/00:la:e2
, Span Span
Frame 1381: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface \Device\NPF_{C64E58F8-626A-4A24-BED4-119BA6BD7793}, id 0 Ethernet II, Src: 0e:5c:49:19:32:bf (0e:5c:49:19:32:bf), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI- 7, DEI: 0, ID: 1
1з, Dst: 192.168.10.22
I Internet Protocol Version 4, Src: 192.168.id
1 Internet Control Message Protocol
Code: 0 Checksum:
0xb953 [correct]
Рис. 7. Исходящий трафик с ПК злоумышленника.
Как мы видим пакеты отосланы, и они имеют два тега. Далее проверим трафик на ПК жертвы, чтобы убедиться, что наши пакеты были доставлены.
Рис. 7. трафик на ПК жертвы.
& Захват из Е№егпе1 5
Файл Правка Вид Запуск Захват Анализ Статистика Телефония беспроводная связь Инструменты Справка
STi|g <&. о. «а. ■ ■
■ Примените фильтр отображения .,. <Ctrl-/>
No. Time Source Destination Protocol Length Info
192.168.10.22 :
fe80: :clea:a205:dla... -192.168.10.22 ;
85 Standard query 0x0000 PTR microsoftmcc._tcp.local,
195 Standard query 0x0000 PTR microsoftmcc._tcp.local,
85 Standard query 0x0000 PTR _microsoft_ricc ._tcp. local,
Ш Standard mn MW PTR m»rgf?ft m»i tiBilgiili
5 4.853242
6 5.180867
7 6.638657
8 6.638828
9 6.824138
10 7.076893
11 7.170768
12 7.260177
192.168.10.3
68:e4:3b : 30:6f: 5b
192.168.10.3
68 :e4: 3b : 30:6f: 5b
192.168.10.3
192.168.10.3
68 :e4: 3b : 30:6f: 5b
192.168.10.3
192.168.10.22 ICMP 60 Echo (ping) request id=0x0042, seq=66/16896,
Broadcast ARP 42 Who has 192.168.10.3? Tell 192.168.10.22
192.168.10.22 ICMP 60 Echo (ping) request id=0x0042, seq=66/16896,
Broadcast ARP 42 Who has 192.168.10.3? Tell 192.168.10.22
192.168.10.22 ICMP 60 Echo (ping) request id=0x0042, seq=66/16896,
192.168.10.22 ICMP 60 Echo (ping) request id=0x0042, seq=66/16896,
Broadcast ARP 42 Who has 192.168.10.3? Tell 192.168.10.22
192.168.10.22 ICMP 60 Echo (ping) request id=0x0042, seq=66/16896,
(no response found!) (no response found!)
(no response found!) (no response found!)
(no response found!)
I 13 7.834791 192.168.10.3 192.168.10.22 ICMP 60 Echo (ping) request id=0x0042J seq=66/16896J ttl=64 (no response füundi) 1
1 14 8.167315 з broadcast 45 Hho has 192.168.10."? Tell 155.158.16.11
____ 0101 = Header Length: 20 bytes (5)
► Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) Total Length: 36
Identification: 0x0042 (66)
► 000.....= Flags: 0x0
...0 0000 0000 0000 = Fragment Offset: 0 Time to Live: 64 Protocol: ICMP (1)
Noo/lon rhorlrcn - ClvQ^lrl Tool irlol-i disabled]
[Header checksum status: Unverified] Source Address: 192.168.10.3 Destination Address: 192.168.10.22
ff ff ff ff ff ff 0e 5c 49 19 32 bf 08
0010 00 24 00 42 00 00 40 01 e5 2d c0 a8 0a
0020 0a 16 08 00 b9 53 00 42 00 42 59 45 52
0030 49 41 00 00 00 00 00 00 00 00 00 00
Пакеты успешно пришли на ПК жертвы без тегов, как показано на рисунке 1. Решение проблемы:
НАСТРОЙКА CISCO SYSTEMS CATALYST 2960 SERIES/ELTEX MES1428/MIKROTIK CRS326-24G-2S+RM
Ниже представлена таблица, сравнивающая команды для конфигурации VLAN на Cisco, MikroTik и ELTEX, оформленная в удобной и структурированной форме.
Таблица 1. Команды для настройки VLAN на коммутаторах
Действие CISCO ELTEX MIKROTIK
Переход в режим конфигурации configure terminal œnfigure terminal
Создаем бриджевый интерфейс /interface bridge
add name=bridge_name protocol-mode=none vlan-filtering= {no,yes}
Добавление портов в бриджевый интерфейс /interface bridge port add bridge=bridge_name interface=ether1
Создание VLAN vlan vlan_id v l a n v l an_id vlan active /interface vlan add interface=bridge_name name=vlan_id vlan_id vlan-id= vlan id
Назначение ip-адреса: interface vlan vlan_id /ip address 192.168.16.144 255.255.255.0 interface vlan vlan_id ip address 192.168.16.144 255.255.255.0 /ip address add address= 192.168.16.144/24 interface=vlan vlan_id
Задать режим работы порта в VLAN. switchport mode {dynamic {auto | desirable} | trunk} switchport mode {access | trunk | general} /interface bridge vlan add bridge=bridge_name {tagged | untagged}=ether1 vlan-ids= vlan_id
Добавление VLAN для интерфейса доступа switchport access vlan vlan_id switchport access vlan vlan_id
Включение обработки тегов VLAN /interface bridge set 0 vlan-filtering=yes
Номер VLAN в качестве Default для данного интерфейса. switchport trunk native vlan vlan_id switchport trunk native vlan vlan_id /interface bridge port add bridge=bridge_name interface=ether1 pvid=vlan_id
Добавить список VLAN для интерфейса switchport trunk allowed vlan {add | all | except | remove} vlan-list switchport general allowed vlan add vlan_list [untagged]
Блокирует функцию изучения новых адресов для интерфейса switchport port-security switchport port-security enable /interface bridge port set [find interface=ether1] learn=no
Задает максимальное количество адресов, которое switchport port-security maximum (num) switchport port-security maclimit /interface bridge port set [find interface=ether1] horizon=1
может изучить порт
Задать режим реагирования при нарушении безопасности switchport port-security violation {protect| restrict | shutdown} switchport port-security violation [restrict | protect]
Задает режим ограничения изучения МАС-адресов switchport port-security mac-address {sticky} [mac-address | vlan {vlan-id | {access| voice}}] switchport port-security mode {max-addresses | lock} /interface bridge filter add chain=forward action=drop src-mac- address=!XX:XX:XX:XX:XX:X X in-interface=ether1
Сохранение конфигурации происходит автоматически, но можно вручную сохранить экспорт: Copy running-config startup-config Write startup-config /export file=backup-config
Таким образом, можно произвести базовую настройку защиты коммутаторов.
ЗАКЛЮЧЕНИЕ
В статье рассмотрены основные угрозы, связанные с атакой на VLAN, включая перехват и анализ сетевого трафика, а также возможности несанкционированного доступа к различным VLAN. Эти атаки эксплуатируют недостатки в конфигурации сетевых устройств и методов сегментации, что делает их особенно опасными в корпоративных сетях с высокой плотностью взаимодействий.
Для защиты от подобных атак были выделены ключевые методы, такие как правильная настройка VLAN Trunking Protocol (VTP), использование механизма фильтрации VLAN (VLAN Filtering) и ограничение доступа к trunk-портам. Также подчеркивается важность использования функций Port Security и блокировки несанкционированного изучения MAC-адресов на уровне коммутаторов.
Использованные источники:
1. Уймин А.Г. Компьютерные сети. L2-технологии : Практикум/ Уймин А.Г. — Москва : Ай Пи Ар Медиа, 2024. — 191 c. — ISBN 978-54497-2539-4. — Текст : электронный.(дата обращения: 06.12.2024)
2. Ethernet switches MES14xx, MES24xx Operation Manual, Firmware Version 10.1.8.2 / Документация [Электронный ресурс] // ELTEX : [сайт]. — URL: https://eltex-
co.com/upload/iblock/930/MES14xx,%20MES24xx_user%20manual_10.1.8. 2_en.pdf (дата обращения: 21.12.2024).
3. IEEE 802.1Q / [Электронный ресурс] // WikipediA : [сайт]. — URL: https://en.wikipedia.org/wiki/IEEE_802.1Q (дата обращения: 24.12.2024).
4. Manual:CRS3xx series switches / [Электронный ресурс] // MikroTik : [сайт]. — URL: https://wiki.mikrotik.com/Manual:CRS3xx_series_switches#VLAN (дата обращения: 21.12.2024).
5. MikroTik: VLAN на коммутаторах CRS1xx/2xx/3xx и SOHO маршрутизаторах (RouterOS 6.41+). Lab #3. / [Электронный ресурс] // iRWX.RU : [сайт]. — URL: https://www.irwx.ru/mikrotik-vlan-crs-lab-3/ (дата обращения: 21.12.2024).
6. VLAN Configuration, Cisco Catalyst PON Series Switches / [Электронный ресурс] // CISCO : [сайт]. — URL: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst_pon/software/co nfiguration_guide/vlan/b-gpon-config-vlan/configuring_vlan.html (дата обращения: 21.12.2024).