Attention: For the english version, click here!

VLAN Hopping ist ein Angriffsvektor, bei dem der Angreifer versucht aus einem VLAN heraus, die logischen Layer2-Restriktionen zu umgehen und in andere VLANs zu „hoppen“, um Traffic mitzulesen oder weitere Angriffe auszuführen.

Es gibt zwei Möglichkeiten, wie das Netzwerk speziell angegriffen wird. Im Laufe des Artikels beschreibe ich euch, wie man sich und sein Netzwerk besser schützen kann

Switch Spoofing

Bei Switch Spoofing versucht der Angreifer sich als Switch auszugeben und mit dem eigentlich Switch des Netzwerkes ein Trunk-Port auszuhandeln. Gelingt das dem Angreifer, so hat er die Möglichkeit Traffic aus allen existierenden VLANs mitzulesen. Dies ist nur möglich, wenn der Port des eigentlichen Switches auf „dynamic auto“, „dynamic desirable“ oder „trunk“ stehen. Dadurch ist es dem Angreifer, der sich als Switch ausgibt, eine automatische Aushandlung mit dem eigentlich Switch herbeizuführen.

Maßnahmen gegen Switch Spoofing

So wird das Dynamic Cisco Protokoll (DTP) von Cisco unterbunden und eine Auto-Aushandlung verhindert:

Switch (config-if)# switchport nonegotiate

Alle Ports, die nicht explizit als Trunk Port arbeiten sollen, sind als Access Port zu konfigurieren:

Switch (config-if)# switchport mode access

Double Tagging

Eine weitere Möglichkeit für VLAN Hopping ist das sogenannte Double Tagging. Hierbei fügt der Angreifer VLAN Tags hinzu oder bearbeitet diese im Ethernet Frame, sodass alle Pakete durch alle VLANs gesendet werden können. Dieser Angriff ist nur möglich, sofern der Angreifer Zugriff auf das Native VLAN hat. Standardmäßig ist das Native VLAN bei den gängigen Herstellern, wie Cisco, HP, etc. auf VLAN 1. Mehr zum Thema „Native VLAN: Welche Fehler gibt es?„

WICHTIG

Hier ist es wichtig zu wissen, dass alle Access Ports, die nicht explizit einem VLAN zugewiesen sind, standardmäßig sich im Default VLAN 1 befinden. Das heißt, ist ein Port am Switch keinem VLAN zugewiesen und nicht auf „shutdown“ gesetzt, kann ein Angreifer problemlos von diesem Port aus Double Tagging begehen und Pakete im Netzwerk manipulieren oder mitlesen – never ever use VLAN 1!

Maßnahmen gegen Switch Spoofing

Weise Ports einem anderen VLAN zu:

Switch(config-if)# switchport access vlan 2

Ändere auf den Trunk Ports das Native VLAN – muss auf beiden Switches gleich konfiguriert sein:

Switch(config-if)# switchport trunk native vlan 111

Zusätzliche Maßnahmen um sein Netzwerk zu schützen

Durch folgende Befehle wird ein Dummy-VLAN erstellt, also ein VLAN ohne jeglichen Nutzen. Abschließend sollten alle unbenutzen Ports dem Dummy-VLAN zugewiesen und heruntergefahren werden:

Switch(config)# vlan 999
Switch(config-vlan)# name Dummy-VLAN
Switch(config-vlan)# exit

Switch(config)# interface range fa 0/18-23
Switch(config-if)# switchport access vlan 999
Switch(config-if)# shutdown

Zusammenfassung

Abschließend bleibt eigentlich nur zu sagen, dass schon eine simple Switch-Konfiguration zu großem Schaden führen kann. Ich denke, das hat der Artikel ausführlich zeigen können und nochmal einen anderen Blickwinkel auf die alltäglichen Dinge gegeben. Hier möchte ich noch eine Leseempfehlung rund um das Thema VLAN 1 und VLAN Hopping mitgeben – Viel Erfolg!

Edit: Unter dem folgenden Link gibt es auch noch ein VLAN Best Practices auf deutsch direkt von Cisco.

---

VLAN Hopping: What is it and how can I protect myself?

VLAN hopping is an attack vector in which the attacker attempts to bypass logical Layer2 restrictions and „hop“ into other VLANs to intercept traffic or launch further attacks.

There are two ways in which the network can be specifically targeted. Throughout the article, I will describe how to better protect yourself and your network.

Switch Spoofing

In switch spoofing, the attacker attempts to impersonate a switch and negotiate a trunk port with the network’s actual switch. If the attacker succeeds, they have the ability to intercept traffic from all existing VLANs. This is only possible if the port of the actual switch is set to „dynamic auto,“ „dynamic desirable,“ or „trunk,“ enabling the attacker posing as a switch to automatically negotiate with the actual switch.

Measures Against Switch Spoofing

To prevent Dynamic Cisco Protocol (DTP) by Cisco and avoid auto-negotiation:

Switch (config-if)# switchport nonegotiate

All ports that should not operate explicitly as trunk ports should be configured as access ports.

Switch (config-if)# switchport mode access

Double Tagging

Another way of VLAN hopping is through a technique called double tagging. In this attack, the attacker adds VLAN tags or modifies them in the Ethernet frame, allowing all packets to be sent through all VLANs. This attack is only possible if the attacker has access to the native VLAN. By default, the native VLAN for common manufacturers such as Cisco and HP is VLAN 1. For more on the topic of „Native VLAN: What are the common errors?„

Attention!

It is important to know that all access ports that are not explicitly assigned to a VLAN are by default located in the default VLAN 1. This means that if a port on the switch is not assigned to a VLAN and is not set to „shutdown,“ an attacker can easily commit double tagging from that port and manipulate or intercept packets on the network – never ever use VLAN 1!

Measures Against Switch Spoofing

Assign ports to other VLANs:

Switch(config-if)# switchport access vlan 2

Changing the native VLAN on trunk ports must be configured the same on both switches.

Switch(config-if)# switchport trunk native vlan 111

Additional measures to protect your network

The following commands create a dummy VLAN, which is a VLAN without any use. Finally, all unused ports should be assigned to the dummy VLAN and shut down:

Switch(config)# vlan 999
Switch(config-vlan)# name Dummy-VLAN
Switch(config-vlan)# exit

Switch(config)# interface range fa 0/18-23
Switch(config-if)# switchport access vlan 999
Switch(config-if)# shutdown

Conclusion

In conclusion, a simple switch configuration can cause significant damage. This article has shown a different perspective on everyday things and highlighted the importance of protecting your network against VLAN hopping attacks. It is recommended to further explore the topic of VLAN 1 and VLAN hopping for better understanding and successful implementation of security measures.