SID-500

Home » Cisco » VLAN Double Tagging Attacks

VLAN Double Tagging Attacks

VLANs dienen der logischen Segmentierung auf Layer 2 Ebene. Jedes VLAN bildet eine eigene Broadcast Domäne. Die Kommunikation zwischen VLANs ist nur mit einem Router möglich. Hosts eines VLANs wissen nichts von ihrem Glück einem VLAN zugewiesen zu sein.

Ein Trunk Port ist i.R. ein Port um die Kommunikation zwischen Switches, und um den Transport mehrerer VLANs über einen Link zu gewährleisten. VLAN 1 ist auf den meisten Switches das Default VLAN. Soviel zum Thema VLANs. Aber was ist VLAN Hopping, oder was ist ein VLAN Double Tagging Angriff?

Szenario

Der PC im rechten unteren Eck ist in VLAN 40. Die Kommunikation zwischen den beiden PCs in VLAN 10 und VLAN 40 ist nicht möglich, auch nicht gewollt.

5.PNG

1. Der Angreifer benutzt ein Programm, um das Paket, welches er – unerlaubterweise – an PC in VLAN 40 senden möchte, verändert. Im Frame scheinen nun zwei VLAN IDs auf. VLAN 10 und VLAN 40.

2. Der Switch empfängt den Frame und erkennt, dass dieses Paket von einem Device aus VLAN 10 kommt. Alle Pakete von VLAN 10 (Native VLAN) werden nicht getagged, denn es handelt sich um das Native VLAN bzw. Default VLAN. Richtigerweise entfernt der Switch die Kennung VLAN 10. So bleibt nur mehr ein Eintrag über, nämlich VLAN 40. Der Switch leitet den Frame an den nächsten Switch weiter.

3. Der nächste Switch erhält den Frame mit der VLAN ID 40 und leitet diesen richtigerweise an den PC in VLAN 40 weiter.

4. Der PC erhält den Frame. Dieser dürfte den Frame nicht empfangen, denn der Angreifer befindet sich nicht im gleichen VLAN Segment wie der PC.

Wie kann das verhindert werden?

Dem Native VLAN sollte kein Access Port zugewiesen werden.

Wenn der Angreifer sich nicht im Native VLAN 10 befindet, sondern in VLAN 20, so entfernt der Switch den ersten VLAN Eintrag nicht. Somit bleibt VLAN 20 als Eintrag im Frame bestehen und der Angreifer kann nur mit Devices in VLAN 20 kommunizieren.

Link: http://www.ciscopress.com/articles/article.asp?p=2181837&seqNum=10


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com