Tabla de Contenido
Análise de ataques de VLAN
Como uma revisão rápida, um ataque de salto de VLAN pode ser lançado de uma das três maneiras:
- Falsificar mensagens DTP do host de ataque para fazer com que o switch entre no modo de entroncamento. A partir daqui, o invasor pode enviar o tráfego marcado com a VLAN de destino e o switch então entrega os pacotes ao destino.
- Apresentando um switch não autorizado e permitindo o entroncamento. O invasor pode então acessar todas as VLANs no switch vítima do switch não autorizado.
- Outro tipo de ataque de salto de VLAN é um ataque de marcação dupla (ou encapsulado duplo). Esse ataque tira proveito da maneira como o hardware da maioria dos switches opera.
Etapas para atenuar ataques de salto de VLAN
Use as seguintes etapas para mitigar ataques de salto de VLAN:
- Etapa 1: Desative as negociações de DTP (entroncamento automático) em portas sem entroncamento usando o comando switchport mode access interface configuration.
- Etapa 2: Desative as portas não utilizadas e coloque-as em uma VLAN não utilizada.
- Etapa 3: Habilite manualmente o link de tronco em uma porta de entroncamento usando o comando switchport mode trunk.
- Etapa 4: Desative as negociações de DTP (entroncamento automático) nas portas de entroncamento usando o comando switchport nonegotiate.
- Etapa 5: Definir a VLAN nativa para uma VLAN diferente da VLAN 1 usando o comando switchport trunk native vlan vlan_number.
Por exemplo, suponha o seguinte:
- As portas FastEthernet 0/1 a fa0 / 16 são portas de acesso ativas
- As portas FastEthernet 0/17 a 0/24 não estão em uso no momento
- As portas FastEthernet 0/21 a 0/24 são portas de tronco.
O salto de VLAN pode ser atenuado implementando a seguinte configuração.
S1(config)# interface range fa0/1 - 16
S1(config-if-range)# switchport mode access
S1(config-if-range)# exit
S1(config)#
S1(config)# interface range fa0/17 - 20
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 1000
S1(config-if-range)# exit
S1(config)#
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate
S1(config-if-range)# switchport trunk native vlan 999
S1(config-if-range)# end
S1#
- As portas FastEthernet 0/1 a 0/16 são portas de acesso e, portanto, o entroncamento é desabilitado tornando-as explicitamente portas de acesso.
- As portas FastEthernet 0/17 a 0/20 são portas não utilizadas e estão desabilitadas e atribuídas a uma VLAN não utilizada.
- As portas FastEthernet 0/21 a 0/24 são links de tronco e são habilitadas manualmente como troncos com DTP desabilitado. A VLAN nativa também é alterada da VLAN 1 padrão para uma VLAN 999 não utilizada.
Verificador de sintaxe – Mitigar ataques de salto de VLAN
No momento, você está conectado ao S1. Os status das portas são os seguintes:
- As portas FastEthernet 0/1 a 0/4 são usadas para entroncamento com outros switches.
- As portas FastEthernet 0/5 a 0/10 não são utilizadas.
- As portas FastEthernet 0/11 a 0/24 são portas ativas atualmente em uso.
Use a faixa fa0 / 1 – 4 para entrar no modo de configuração de interface para os troncos.
S1(config)#interface range fa0/1 - 0/4
Configure as interfaces como troncos de não negociação atribuídos à VLAN 99 padrão.
S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport nonegotiate
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)# exit
Use a faixa fa0 / 5 – 10 para entrar no modo de configuração de interface para os troncos.
S1(config)#interface range fa0/5 - 10
Configure as portas não utilizadas como portas de acesso, atribua-as à VLAN 86 e desligue as portas.
S1(config-if-range)#switchport mode access
S1(config-if-range)#switchport access vlan 86
% Access VLAN does not exist. Creating vlan 86
S1(config-if-range)#shutdown
\*Mar 1 00:28:48.883: %LINK-5-CHANGED: Interface FastEthernet0/5, changed state to administratively down
\*Mar 1 00:28:48.900: %LINK-5-CHANGED: Interface FastEthernet0/6, changed state to administratively down
\*Mar 1 00:28:48.908: %LINK-5-CHANGED: Interface FastEthernet0/7, changed state to administratively down
\*Mar 1 00:28:48.917: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
\*Mar 1 00:28:48.942: %LINK-5-CHANGED: Interface FastEthernet0/9, changed state to administratively down
\*Mar 1 00:28:48.950: %LINK-5-CHANGED: Interface FastEthernet0/10, changed state to administratively down
\*Mar 1 00:28:49.890: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down
\*Mar 1 00:28:49.907: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/6, changed state to down
S1(config-if-range)# exit
Use a faixa fa0 / 11 – 24 para entrar no modo de configuração de interface para as portas ativas e, em seguida, configure-as para evitar entroncamento.
S1(config)#interface range fa0/11 - 24
S1(config-if-range)#switchport mode access
S1(config-if-range)# end
S1#
Você atenuou com êxito os ataques de salto de VLAN neste switch.
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.