VLAN Hopping: Was ist das und wie kann ich mich schützen?

VLAN Hopping ist ein Angriffsvektor, bei dem der Angreifer versucht aus einem VLAN heraus, die logischen Layer2-Restriktionen zu umgehen und in andere VLANs zu „hoppen“, um Traffic mitzulesen oder weitere Angriffe auszuführen.

Es gibt zwei Möglichkeiten, wie das Netzwerk speziell angegriffen wird. Im Laufe des Artikels beschreibe ich euch, wie man sich und sein Netzwerk besser schützen kann

Switch Spoofing

Bei Switch Spoofing versucht der Angreifer sich als Switch auszugeben und mit dem eigentlich Switch des Netzwerkes ein Trunk-Port auszuhandeln. Gelingt das dem Angreifer, so hat er die Möglichkeit Traffic aus allen existierenden VLANs mitzulesen. Dies ist nur möglich, wenn der Port des eigentlichen Switches auf „dynamic auto“, „dynamic desirable“ oder „trunk“ stehen. Dadurch ist es dem Angreifer, der sich als Switch ausgibt, eine automatische Aushandlung mit dem eigentlich Switch herbeizuführen.

Maßnahmen gegen Switch Spoofing

So wird das Dynamic Cisco Protokoll (DTP) von Cisco unterbunden und eine Auto-Aushandlung verhindert:

Switch (config-if)# switchport nonegotiate

Alle Ports, die nicht explizit als Trunk Port arbeiten solle, sind als Access Port zu konfigurieren:

Switch (config-if)# switchport mode access

Double Tagging

Eine weitere Möglichkeit für VLAN Hopping ist das sogenannte Double Tagging. Hierbei fügt der Angreifer VLAN Tags hinzu oder bearbeitet diese im Ethernet Frame, sodass alle Pakete durch alle VLANs gesendet werden können. Dieser Angriff ist nur möglich, sofern der Angreifer Zugriff auf das Native VLAN hat. Standardmäßig ist das Native VLAN bei den gängigen Herstellern, wie Cisco, HP, etc. auf VLAN 1.

WICHTIG

Hier ist es wichtig zu wissen, dass alle Access Ports, die nicht explizit einem VLAN zugewiesen sind, standardmäßig sich im Default VLAN 1 befinden. Das heißt, ist ein Port am Switch keinem VLAN zugewiesen und nicht auf „shutdown“ gesetzt, kann ein Angreifer problemlos von diesem Port aus Double Tagging begehen und Pakete im Netzwerk manipulieren oder mitlesen – never ever use VLAN 1!

Maßnahmen gegen Switch Spoofing

Weise Ports anderen VLAN IDs als VLAN 1 zu:

Switch(config-if)# switchport access vlan 2

Ändere auf den Trunk Ports das Native VLAN – muss auf beiden Switches gleich konfiguriert sein:

Switch(config-if)# switchport trunk native vlan 111

Zusätzliche Maßnahmen um sein Netzwerk zu schützen

Durch folgende Befehle wird ein Dummy-VLAN erstellt, also ein VLAN ohne jeglichen Nutzen. Abschließend sollten alle unbenutzen Ports dem Dummy-VLAN zugewiesen und heruntergefahren werden:

Switch(config)# vlan 999
Switch(config-vlan)# name Dummy-VLAN
Switch(config-vlan)# exit
Switch(config)# interface range fa 0/18-23
Switch(config-if)# switchport access vlan 999
Switch(config-if)# shutdown

Zusammenfassung

Abschließend bleibt eigentlich nur zu sagen, dass schon eine simple Switch-Konfiguration zu großem Schaden führen kann. Ich denke, das hat der Artikel ausführlich zeigen können und nochmal einen anderen Blickwinkel auf die alltäglichen Dinge gegeben. Hier möchte ich noch eine Leseempfehlung rund um das Thema VLAN 1 und VLAN Hopping mitgeben – Viel Erfolg!

Edit: Unter dem folgenden Link gibt es auch noch ein VLAN Best Practices auf deutsch direkt von Cisco.

Start the discussion

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert