حمله VLAN hopping چیست و چگونه میتوان از آنها جلوگیری کرد؟

زمان مطالعه: 2 دقیقه

VLAN hopping روشی برای حمله به شبکه با ارسال بسته ها به پورت است برای دسترسی به قسمت‌هایی از شبکه است که به طور معمول از یک سیستم انتهایی مشخص قابل دسترسی نیستند. در این مقاله می خواهیم امکان ایجاد این حملات را مهار کنیم و پورت‌هایی که نیاز نیست Trunk باشند را از حالت ترانک خارج کنیم. به صورت پیش فرض برخی از سوئیچ های سیسکو در حالت Auto Trunking قرار دارند. یعنی با دریافت فریم DTP روی پورت، آن پورت به صورت خودکار تبدیل به پورت ترانک میشود. این موضوع زمانی تبدیل به یک مشکل امنیتی می شود که نفوذگر پورت سوئیچ را به ترانک تبدیل کند و حملات VLAN-hopping را انجام دهد. اون شخص بدون نیاز به عبور ترافیک از روتر میتواند به بقیه VLAN های سوئیچ دسترسی داشته باشد.

VLAN hopping می تواند برای سرقت کلمه عبور و سایر اطلاعات حساس از مشترکین شبکه استفاده شود. این حمله همچنین می تواند برای تغییر،خرابکردن و یا حذف داده ها، نصب نرم افزارهای جاسوسی یا سایر نرم افزارهای مخرب و تبلیغ ویروس ها، کرم ها و تروجان ها در سراسر شبکه مورد استفاده قرار گیرد.

جلوگیری از حمله VLAN hopping

برای غیرفعال کردن امکان VLAN-hopping می توانید ترانک را روی تمام پورتهایی که به آن نیاز ندارند غیر فعال کنید. و همچنین قابلیت DTP را روی تمام پورتها غیر فعال کنید.

غیر فعال کردن ترانک:

Switch1(config)# interface gigabitethernet 0/3
Switch1(config-if)# switchport mode access
Switch1(config-if)# exit

جلوگیری از امکان DTP:

Switch1(config)# interface gigabitethernet 0/4
Switch1(config-if)# switchport trunk encapsulation dot1q
Switch1(config-if)# switchport mode trunk
Switch1(config-if)# switch port nonegotiate

جلوگیری از double tagging:

برای جلوگیری از حملات Vlan-hopping با استفاده از قابلیت double tagging از قابلیت Native VLAN برای ارسال ترافیک کاربر استفاده نکنید. اینکار را می توانید با ایجاد یک VLAN که هیچ پورتی به آن اضافه نشده است انجام دهید. و از این VLAN فقط برای استفاده به عنوان Native VLAN باشد. مانند مثال زیر: