دانستنی های شبکه ایمن - شماره 1

همواره طراحی و پیاده  سازی شبکه های Layer 3   دارای مزایای زیادی هستند که از آن جمله می توان به این موارد اشاره کرد:

- جداسازی فیزیکی دپارتمان ها

- جلوگیری از انتقال Broadcast Domain ها ( انتقال داده های غیره ضروری در سطح شبکه)

- کاهش بار ترافیکی شبکه

- افزایش راندمان شبکه

- امکان کنترل دسترسی های کاربران در سطح VLAN

- ….

هرچند با وجود مزایای بسیار بالای پیاده سازی این گونه طرح ها، عدم رعایت نکات امنیتی در بعضی موارد می تواند عاملی برای سوء استفاده و بروز خسارات جبران ناپذیری در شبکه گردد.

از جمله این تهدیدات  VLAN Hopping است. در این روش فرد مهاجم با نفوذ به VLAN های دیگر اقدام به شنود داده های عبوری در VLAN هایی که مجاز به اتصال به آنها نیست می نماید و از این طریق اطلاعات و داده های سازمانی را به سرقت می برد.

معمولا، برای طرح ریزی و اجرای این حمله دو روش اصلی وجود دارد. این روش ها عبارتند از:

1-      Switch Spoofing

در روشSwitch spoofing ، مهاجم کامپیوتر خودش را به جای یک سوئیچ معرفی می کند که قابلیت گفتگو با پروتکل هایTrunk ، 802.1q)،( ISL  را دارد. از آنجایی که پورت های Trunk به صورت پیش فرض قابلیت دسترسی به همه ی VLAN ها را دارند، در نتیجه کامپیوتر مهاجم نیز عضو تمام VLAN ها شده و می تواند با آنها ارتباط برقرار کند.

2-      Double Tagging

درروش  Double tagging، مهاجم یک تگ اضافه 802.1q علاوه بر تگ موجود اضافه می کند. تگ  اول به VLAN کامپیوتر مهاجم اختصاص دارد که بعد از عبور از سوئیچ اول باز می شود و سپسPacket ،Forward می شود. وقتی Packet به سوئیچ دوم می رسد، تگ جعلی دوم که به VLAN   کامپیوتر مهاجم اختصاص دارد، جدا می شود و بسته به سوی VLAN مورد نظر Forward می شود. در نتیجه مهاجم میتواند اطلاعات آن محل را بدون مشکل در اختیار داشته باشد.