VLAN hopping attack

Angol

Főnév

VLAN hopping attack (tsz. VLAN hopping attacks)

1. (informatika) A VLAN hopping (magyarul: VLAN „átugrás” vagy „áthidalás”) egy hálózati támadási technika, amely lehetővé teszi egy rosszindulatú felhasználó számára, hogy egy virtuális LAN-on (VLAN) belépjen egy másik, elkülönített VLAN-ba anélkül, hogy arra jogosultsága lenne. Ez a támadás megsérti a VLAN-ok egyik alapvető célját: a hálózati szegmensek közötti logikai elválasztást.

Ebben a cikkben részletesen bemutatjuk, mi az a VLAN, hogyan működik a VLAN hopping, milyen típusai vannak, és hogyan lehet védekezni ellene.

---

Mi az a VLAN?

A VLAN (Virtual Local Area Network) lehetővé teszi, hogy egy fizikai hálózati infrastruktúrán belül több logikai hálózatot hozzunk létre. Például egy irodaházban a rendszergazda szétválaszthatja a különböző osztályokat (HR, IT, pénzügy, stb.) VLAN-ok szerint, hogy elszigetelje az adatforgalmat, növelje a biztonságot, és csökkentse a forgalmi zavarokat.

A VLAN-ok az IEEE 802.1Q szabvány alapján működnek, amely egy ún. „tag”-et (címkét) fűz minden Ethernet kerethez, amely azonosítja, hogy az adott csomag melyik VLAN-hoz tartozik. A switch-ek ez alapján tudják eldönteni, hogy egy adott csomagot melyik port(ok)ra továbbítsanak.

---

Hogyan működik a VLAN hopping?

A VLAN hopping során a támadó megpróbál „átugrani” a saját VLAN-jából egy másik VLAN-ba. Ezt két fő módszerrel érheti el:

1. Switch Spoofing

Ez a technika azon alapul, hogy a támadó eszköz úgy viselkedik, mintha egy switch lenne. Ha egy switch portja „trunk” módban működik (ami több VLAN-t is továbbít egyetlen kapcsolaton keresztül), akkor az ezen a porton továbbított keretek tartalmazhatnak VLAN tag információkat.

A támadó célja, hogy rávegye a valódi switch-et, hogy trunk kapcsolatként kezelje a kapcsolatukat, és így több VLAN-hoz is hozzáférést kapjon.

Lépések: - A támadó eszköz „trunk” üzemmódot emulál. - 802.1Q tag-eket fűz a csomagokhoz, és elküldi őket. - A switch elfogadhatja a csomagokat és továbbíthatja más VLAN-okba is.

2. Double Tagging (Dupla címkézés)

Ez a technika csak akkor működik, ha a támadó és a cél switch ugyanazon a fizikai VLAN-on vannak. A támadó két VLAN tag-et helyez el az Ethernet kereten: egy külsőt (amely a saját VLAN-ját jelzi), és egy belsőt (amely a cél VLAN-t).

Lépések: - A támadó eszköz létrehoz egy csomagot dupla VLAN tag-gel. - Az első switch eltávolítja a külső tag-et (saját VLAN-ra vonatkozóan), és továbbítja a csomagot. - A második switch már csak a belső tag-et látja, és azt hiszi, hogy az a cél VLAN-ból érkezik, így továbbítja a cél VLAN-ba.

Ez különösen alattomos módszer, mert a switch-ek alapértelmezetten nem vizsgálják mélyebben a kereteket, és így átcsúszhat a belső tag.

---

Miért veszélyes a VLAN hopping?

A VLAN-ok célja, hogy elszigeteljék egymástól a különböző hálózati szegmenseket. Amikor egy támadó sikeresen végrehajt egy VLAN hopping támadást, képes lesz: - Hozzáférni más VLAN-ok forgalmához. - További támadásokat indítani (pl. man-in-the-middle, sniffing, ARP spoofing). - Bizalmas adatokhoz jutni, amelyek más VLAN-okban közlekednek. - Megkerülni a hálózati szegmentáláson alapuló biztonsági intézkedéseket.

---

Hogyan védekezhetünk VLAN hopping ellen?

Szerencsére többféle védekezési lehetőség is létezik. Ezek közül néhány:

1. Trunk portok korlátozása

• Soha ne engedélyezzünk trunk üzemmódot olyan portokon, ahol végberendezések (PC, nyomtató, stb.) csatlakoznak.
• Manuálisan állítsuk a portokat „access” módba.

2. Nativ VLAN módosítása

• Az IEEE 802.1Q szabvány szerint a „native VLAN” az a VLAN, amelyre nem kell VLAN tag-et tenni.
• Ha a támadó a default (általában VLAN 1) native VLAN-t használja, könnyebben tud „átugrani”.
• Állítsuk a native VLAN-t egy nem használt, dedikált VLAN-ra.

3. VLAN 1 mellőzése

• A VLAN 1-et (az alapértelmezett VLAN-t) ne használjuk semmilyen érdemi kommunikációra, csak menedzsment célokra (ha egyáltalán).

4. Port biztonság (Port Security)

• Cisco switch-ek például lehetővé teszik, hogy csak meghatározott MAC-című eszközök csatlakozzanak egy porthoz.
• Beállíthatjuk, hogy egy port automatikusan letiltson, ha ismeretlen eszköz próbál csatlakozni.

5. Dinamikus VLAN hozzárendelés mellőzése

• Ne használjunk olyan mechanizmust (pl. DTP – Dynamic Trunking Protocol), amely automatikusan képes trunk portokat létrehozni.

---

Összegzés

A VLAN hopping egy ismert és veszélyes hálózati támadási forma, amely a hálózati szegmentáció megkerülésére szolgál. Leggyakrabban switch spoofing vagy double tagging módszerrel valósul meg. Bár a VLAN-ok hatékony eszközök a hálózatok logikai szétválasztására, önmagukban nem elegendőek a teljes körű biztonsághoz.

Ezért fontos, hogy a hálózati eszközök konfigurálása során figyelmet fordítsunk az alapértelmezett beállítások megváltoztatására, a hozzáférési portok korlátozására, valamint a nem használt VLAN-ok és portok letiltására. A megfelelő gyakorlatok és konfigurációs lépések alkalmazásával a VLAN hopping támadások hatékonyan megelőzhetők.

---

További információk

• VLAN hopping attack - Szótár.net (en-hu)
• VLAN hopping attack - Sztaki (en-hu)
• VLAN hopping attack - Merriam–Webster
• VLAN hopping attack - Cambridge
• VLAN hopping attack - WordNet
• VLAN hopping attack - Яндекс (en-ru)
• VLAN hopping attack - Google (en-hu)
• VLAN hopping attack - Wikidata
• VLAN hopping attack - Wikipédia (angol)