Mitigar ataques de VLAN
Mitigar ataques de VLAN

Mitigar Ataques de VLAN

[note note_color=”#21ab5136″ text_color=”#2c2c2d” radius=”3″ class=”” id=””]Bem-vindo: este tópico faz parte do Capítulo 11 do curso Cisco CCNA 2, para um melhor acompanhamento do curso você pode ir para a seção CCNA 2 para orientá-lo durante um pedido.[/note]

Análise de ataques de VLAN

Como uma revisão rápida, um ataque de salto de VLAN pode ser lançado de uma das três maneiras:

  • Falsificar mensagens DTP do host de ataque para fazer com que o switch entre no modo de entroncamento. A partir daqui, o invasor pode enviar o tráfego marcado com a VLAN de destino e o switch então entrega os pacotes ao destino.
  • Apresentando um switch não autorizado e permitindo o entroncamento. O invasor pode então acessar todas as VLANs no switch vítima do switch não autorizado.
  • Outro tipo de ataque de salto de VLAN é um ataque de marcação dupla (ou encapsulado duplo). Esse ataque tira proveito da maneira como o hardware da maioria dos switches opera.

Etapas para atenuar ataques de salto de VLAN

Use as seguintes etapas para mitigar ataques de salto de VLAN:

  • Etapa 1: Desative as negociações de DTP (entroncamento automático) em portas sem entroncamento usando o comando switchport mode access interface configuration.
  • Etapa 2: Desative as portas não utilizadas e coloque-as em uma VLAN não utilizada.
  • Etapa 3: Habilite manualmente o link de tronco em uma porta de entroncamento usando o comando switchport mode trunk.
  • Etapa 4: Desative as negociações de DTP (entroncamento automático) nas portas de entroncamento usando o comando switchport nonegotiate.
  • Etapa 5: Definir a VLAN nativa para uma VLAN diferente da VLAN 1 usando o comando switchport trunk native vlan vlan_number.

Por exemplo, suponha o seguinte:

  • As portas FastEthernet 0/1 a fa0 / 16 são portas de acesso ativas
  • As portas FastEthernet 0/17 a 0/24 não estão em uso no momento
  • As portas FastEthernet 0/21 a 0/24 são portas de tronco.

O salto de VLAN pode ser atenuado implementando a seguinte configuração.

S1(config)# interface range fa0/1 - 16
S1(config-if-range)# switchport mode access
S1(config-if-range)# exit
S1(config)# 
S1(config)# interface range fa0/17 - 20
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 1000
S1(config-if-range)# exit
S1(config)# 
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate 
S1(config-if-range)# switchport trunk native vlan 999
S1(config-if-range)# end
S1#
  • As portas FastEthernet 0/1 a 0/16 são portas de acesso e, portanto, o entroncamento é desabilitado tornando-as explicitamente portas de acesso.
  • As portas FastEthernet 0/17 a 0/20 são portas não utilizadas e estão desabilitadas e atribuídas a uma VLAN não utilizada.
  • As portas FastEthernet 0/21 a 0/24 são links de tronco e são habilitadas manualmente como troncos com DTP desabilitado. A VLAN nativa também é alterada da VLAN 1 padrão para uma VLAN 999 não utilizada.

Verificador de sintaxe – Mitigar ataques de salto de VLAN

No momento, você está conectado ao S1. Os status das portas são os seguintes:

  • As portas FastEthernet 0/1 a 0/4 são usadas para entroncamento com outros switches.
  • As portas FastEthernet 0/5 a 0/10 não são utilizadas.
  • As portas FastEthernet 0/11 a 0/24 são portas ativas atualmente em uso.

Use a faixa fa0 / 1 – 4 para entrar no modo de configuração de interface para os troncos.

S1(config)#interface range fa0/1 - 0/4

Configure as interfaces como troncos de não negociação atribuídos à VLAN 99 padrão.

S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport nonegotiate
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)# exit

Use a faixa fa0 / 5 – 10 para entrar no modo de configuração de interface para os troncos.

S1(config)#interface range fa0/5 - 10

Configure as portas não utilizadas como portas de acesso, atribua-as à VLAN 86 e desligue as portas.

S1(config-if-range)#switchport mode access
S1(config-if-range)#switchport access vlan 86
% Access VLAN does not exist. Creating vlan 86
S1(config-if-range)#shutdown
\*Mar 1 00:28:48.883: %LINK-5-CHANGED: Interface FastEthernet0/5, changed state to administratively down
\*Mar 1 00:28:48.900: %LINK-5-CHANGED: Interface FastEthernet0/6, changed state to administratively down
\*Mar 1 00:28:48.908: %LINK-5-CHANGED: Interface FastEthernet0/7, changed state to administratively down
\*Mar 1 00:28:48.917: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
\*Mar 1 00:28:48.942: %LINK-5-CHANGED: Interface FastEthernet0/9, changed state to administratively down
\*Mar 1 00:28:48.950: %LINK-5-CHANGED: Interface FastEthernet0/10, changed state to administratively down
\*Mar 1 00:28:49.890: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down
\*Mar 1 00:28:49.907: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/6, changed state to down
S1(config-if-range)# exit

Use a faixa fa0 / 11 – 24 para entrar no modo de configuração de interface para as portas ativas e, em seguida, configure-as para evitar entroncamento.

S1(config)#interface range fa0/11 - 24
S1(config-if-range)#switchport mode access
S1(config-if-range)# end
S1#

Você atenuou com êxito os ataques de salto de VLAN neste switch.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.