Crée un VLAN BlackHole

Avez vous déjà entendu parler de VLAN Hopping ?

Cela permet à l’attaquant de pouvoir passer d’un VLAN à l’autre alors qu’il devrait pas pouvoir le faire.

Il faut évidemment un accès physique au switch pour effectuer cette attaque, mais cela n’est pas bien rassurant quand même…

Dans ce billet nous allons voir comment se protéger de ce type d’attaque en configurant correctement nos ports de switch !

Le VLAN1 tu n’utilisera pas !

Pour cette première sécurisation, elle permet de contrer le double tagging.

L’attaquant va simuler au switch suivant que la requête à été envoyée par un port ayant 2 VLAN de taggé.

Le second switch va donc recevoir la requête, sans le premier tag car c’est le VLAN par défaut du premier switch et va donc lire le tag ajoutée par l’attaquant et le lire comme tel.

Pour résumer, la faille dans cette attaque est que le VLAN natif n’inclus pas de tag dans ses requête, ce qui laisse tout le loisir à l’attaquant d’en ajouter un autre.

Comment le corriger ?

On va commencer par définir le VLAN 999 (ou le chiffre qui vous plait) comme VLAN natif.

Les commandes seront du style :

switchport trunk native vlan 999
vlan dot1q tag native

Le réseau de data devra donc être sur un autre vlan a votre convenance, perso j’aime bien mettre le VLAN 10.

Si vous avez bien suivi, le fait de définir le VLAN 999 par default fait que si quelqu’un se branche en sauvage sur le switch il n’aura simplement accès à rien.

Un changement du vlan via une commande sera nécessaire pour changer le VLAN utilisé sur ce port.

switchport access vlan 2

Le DTP tu désactivera !

Pour cette attaque, elle consiste à simuler un switch en mode trunk sur un port que ne devrait pas l’être.

L’attaquant en branchant son ordi sur le switch va se faire passer pour un switch en mode trunk et va donc récupérer le trafic des différents VLAN .

Comment le corriger ?

Pour lui bloquer la route, vous devez désactiver la négociation automatique plus d’info sur ce lien

On va donc passer nos port en no-negotiate :

switchport nonegotiate

Et on va ensuite les définir en port access uniquement :

switchport mode access

Conclusion

Vous voyez que des VLAN ne suffisent pas à sécuriser une infrastructure.

La configuration des équipements et primordial pour la sécurité des SI.

Ce billet se veut très, très générique car il y a tellement de situation et d’environnements différents que seul votre réflexion pourra permettre sa mise en place.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

Powered by
Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
None
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
None
Analytical cookies track visitor interactions, providing insights on metrics like visitor count, bounce rate, and traffic sources.
None
Advertisement cookies deliver personalized ads based on your previous visits and analyze the effectiveness of ad campaigns.
None
Powered by