В современных коммутируемых сетях существует множество различных типов атак. Архитектура VLAN упрощает обслуживание сети и повышает производительность, однако также даёт злоумышленникам возможность для атаки. Необходимо понимать как принцип действия различных типов атак, так и методы снижения риска атак.
Атака VLAN hopping позволяет посторонней VLAN видеть трафик другой, атакуемой VLAN. Спуфинг коммутатора — это тип атаки сети VLAN, при котором используется неправильно настроенный транковый порт. По умолчанию транковые порты имеют доступ ко всем сетям VLAN и передают трафик для нескольких VLAN через один и тот же физический канал, как правило, между коммутаторами.
На рисунке нажмите кнопку «Воспроизведение», чтобы просмотреть анимацию о спуфинг-атаке коммутатора.
В простом случае спуфинг-атаки коммутатора злоумышленник в своих интересах пользуется тем, что порт коммутатора по умолчанию настроен на динамический автоматический режим. Злоумышленник конфигурирует систему таким образом, чтобы она вела себя как коммутатор. Для такого спуфинга злоумышленник должен уметь имитировать сообщения 802.1Q и DTP. Заставив коммутатор думать, что другой коммутатор пытается создать транковый канал, злоумышленник может получить доступ ко всем сетям VLAN, разрешённым на этом транковом порте.
Лучший способ предотвратить базовую спуфинг-атаку — отключить транковую связь на всех портах, за исключением тех, на которых транковая связь необходима. На нужных транковых портах отключите DTP и вручную включите транковую связь.