در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

VLAN Hopping چیست و نحوی جلوگیری از آن

در آموزش های قبلی با برخی از حملات لایه دوم آشنا شدیم و همچنین بحث VLAN را نیز آموزش دادیم امروز می خواهیم با یکی دیگر از حملات لایه دوم که در ارتباط با VLAN است آشنا شویم.زمانی که روی سوئیچ VLAN بندی می کنیم بین VLANها ارتباطی وجود ندارد و برای ایجاد ارتباط بین VLANها ، از Inter VLAN Routing براساس نیازها و سیاست های مورد نظر استفاده کنیم اما روش هایی وجود دارد که مهاجم با استفاده از این روش ها به صورت غیر مجاز از یک VLAN به VLAN دیگر نفوذ می کند. در این بحث با این روش ها و نحوی مقابله با آن آشنا می شویم.

VLAN Hopping چیست و نحوی جلوگیری از آن


نفوذ ترافیک از یک VLAN به VLAN دیگر بدون استفاده از روتر و در لایه دوم انجام می پذیرد و به دو روش زیر انجام می گیرد:

  • Switch Spoofing : با توجه به اینکه پورت های سوئیچ در حالت پیش فرض در حالت Dynamic است و امکان Trunk شدن را دارد. مهاجم با اتصال یک سوئیچ یا یک دستگاه دیگر که امکان معرفی خود به عنوان یک پورت Trunk را داشته باشد می تواند به دیگر VLANها دسترسی پیدا کند.
  • راه حل : Port Configuration : وضعیت پورت ها را مشخص کنیم پورتی که به یک End Device متصل است نباید در حالت Dynamic باشد و آنرا باید در وضعیت Access قرار دهیم.
  • با دستورات زیر اینکار را می توانیم انجام دهیم:
  • Switch(config)#interface fastethernet 0/1
    Switch(config-if)#switchport mode access
    
    
  • Double Tagging : در این روش مهاجم از ویژگی Native VLAN برای نفوذ خود استفاده می کند.

VLAN Hopping چیست و نحوی جلوگیری از آن

  • به طور مثال VLAN 10 به عنوان Native VLAN ما است و مهاجم که در Native VLAN قرار دارد می خواهد به VLAN 20 نفوذ کند مهاجم بسته مورد نظر خود را با Tag 20 ارسال می کند سوئیچ با دریافت فریم روی پورت سوئیچ ، Tag 10 را روی آن می زند که باعث می شود فریم ما دارای دو Tag شود این فریم هنگامی که روی پورت Trunk ارسال می شود Tag مربوط به Native VLAN آن حذف می شود اما همچنان Tag 20 را دارد در نتیجه ، هنگام دریافت فریم توسط سوئیچ مقابل ، با دیدن Tag 20 روی فریم ، آنرا تحویل VLAN 20 می کند. به این صورت مهاجم از VLAN 10 به VLAN 20 نفوذ می کند.
  • راه حل :
  • Native VLAN نیز با Tag ارسال شود. با دستور زیر اینکار انجام می شود:
  • Switch(config-if)# switchport trunk native vlan tag
    
  • VLAN که استفاده نمی شود را به عنوان Native انتخاب کنیم.

نویسنده : جعفر قنبری شوهانی

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#port_security_چیست #حملات_هکری_لایه_دو #private_vlan_چیست #جلوگیری_از_vlan_hopping #نحوی_جلوگیری_از_vlan_hopping_در_سیسکو #حملات_لایه_دوم #private_vlan_edge_سیسکو_چیست #vlan_hopping_چیست
1 نظر
محمد حسین گلی

سپاس، بسیار عالی بود درباره Tagging یا VLAN Tagging اگر مطلبی قبلا در سایت ارائه شده است، لینکش رو برای بنده ارسال کنید.

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....