В виртуальной локальной сети или VLAN является группой узлов, взаимодействующих друг с другом. Даже если они находятся в другом физическом расположении. Виртуальная лан снабжает независимость положения потребителей. Способные для сохранения ширины полосы частот, управляют прибором, рентабельный для организации некоторые из объектов обеспеченных виртуальной лан.
VLAN на уровне 2
VLAN основана на уровне 2 «канал передачи данных» модели OSI. Слои OSI независимы друг от друга и взаимодействуют друг с другом. Если какой-либо из слоев будет скомпрометирован, другие слои также не будут работать. VLAN находится на уровне канала передачи данных, который так же уязвим к атакам, как любой другой уровень на модели OSI.
Проблемы безопасности, с которыми сталкивается VLAN
Когда дело доходит до VLAN, это лучше всего подходит для управления трафиком и определенно не для безопасности. Некоторые из проблем безопасности, с которыми сталкиваются влан приведены ниже.
Атака ARP
АРП-это адрес разрешение протокола, который предназначен для дружественной обстановке. ARP работает, связывая IP-адрес уровня 3 с Mac-адресом уровня 2.
ARP не хватает очень много, когда дело доходит до безопасности, злонамеренный пользователь в состоянии использовать поддельный IP-адрес уровня 3 и MAC-адрес уровня 2, нет никакого способа проверить те поддельные детали в ARP.
Злоумышленник идентифицирует его как законного пользователя и начинает использовать ресурсы, доступные в сети. Даже возможно передать пакеты ARP к устройству в другой VLAN, используя те поддельные детали.
Атака MiM
Она даже позволяет злоумышленнику выполнить человек-в-середине. (Мим) атаки. Атака MiM выполняется, когда сетевое устройство идентифицирует себя как другое сетевое устройство, такое как шлюз по умолчанию, нет способа проверить эти учетные данные.
Затем злоумышленник начинает отправлять ARP-пакеты целевой жертве. Эти ARP-пакеты не могут быть проверены получателем. Таблица ARP приемника заполнена поддельными данными пакетов ARP, переданных атакующим. Затем злоумышленник может собрать всю информацию о получателе и даже пытается походить как получатель на другие устройства в сети. В конце атаки злоумышленник исправляет таблицы ARP, и сеть возвращается в нормальное состояние.
Инструмент, который может быть использован для выполнения ARP spoofing Arpspoof, Arpoison, Cain и Abel, и Ettercap. Траппер, который был вдохновлен от известного инструмента под названием Cain.
Эффективной контрмерой против атак ARP является:
Динамическая инспекция ARP (DAI). DAI является функцией безопасности, которая проверяет все пакеты ARP в сети. Это отбрасывает пакеты ARP с недопустимым IP иMac-адрес.
Чтобы включить DAI на VLAN протокол DHCP. (Окружение на CISCO)
Вводит команду глобальной конфигурации
- Router# configure terminal
- Enables DAI on VLAN by using iparp inspection Vlan{vlan_id|vlan_range} from the global configuration table
Маршрутизатор (конфигурации)
- # iparp inspection vlan {vlan_ID |vlan_range}
Наконец, проверяет конфигурацию маршрутизатор (config-if)
- # do show iparp inspection Vlan{vlan_id|vlan_range} | begin Vlan
MAC Flooding Attack
Mac flooding attack-одна из распространенных атак на VLAN. В атаке затопления MAC коммутатор заполнен пакетами различных Mac-адресов. Поэтому потребляет память на коммутаторе.
Во время атаки Mac flooding switch начинает вести себя как” концентратор», где он начинает совместно использовать данные со всеми портами. Таким образом, злонамеренный пользователь может использовать Анализатор пакетов. Чтобы извлечь конфиденциальные данные.
Например, есть 3 рабочие станции WA, WB и WC. Когда WA пытается передать данные WB, это не просматривается WC из-за коммутатора. Теперь, злонамеренный пользователь считает WC. Начинает атаку Mac flooding на коммутаторе с другим MAC-адресом, память коммутатора заполнена. Теперь коммутатор начинает вести себя как концентратор. Поэтому, когда в следующий раз WA пытается отправить данные в WB, он будет легко просматриваться WC.
Лучший способ защитить VLAN от атаки затопления MAC — это через статический безопасный MAC-адрес. Они должны быть настроены вручную. С помощью команды “switchport порт-безопасности MAC-адрес — MAC-адрес интерфейса“. Другой способ обеспечить MAC флудить, чтобы ограничить количество MAC-адресов, полученных в порт.