交换机安全学习笔记 第四章 VLAN

 

Trunk 口  思科称为：native VLAN  华为称为：PVID   说白了就是Trunk端口本身所属的VLAN,因为，Trunk端口要"透传"多个VLAN的流量，其本身不属于任何一个VLAN。但是Trunk端口在交换机内部要与一个VLAN ID关联，此VLAN ID就是 思科的：native VLAN  华为的：PVID。

Trunk口的native VLAN 是不带标签通过的。到对端后会打上对端端口响应的native VLAN标签。如果两端native VLAN不一致就会发生VLAN跳跃问题（VLAN hopping）！

思科有CDP 思科发现协议（Cisco Discovery Protocol）若两端的trunk端口native VLAN 配置不一致会发出相关告警。

 

 

由于802.1Q规范并没有禁止多个连贯的标记（tag）串连起来。事实上QinQ技术也正是利用这一点缓解了单层VLAN4096个的限制。提供了4096*4096中可能的组合较好扩展了分配给每个VLAN ID的12比特的限制。   但是这一特性也成为了一下攻击的基础。

 

    双嵌套（double-nested）VLAN攻击

          注意：仅当Trunk口的native VLAN 与攻击者所在端口的VLAN ID 一致且分别属于用Trunk口互联的两台交换机下时，攻击才会生效。

 

                攻击者<--->交换机1<--->交换机2<--->受害者

 

         利用的就是Trunk口的native VLAN 是不带标签通过的。到对端后会打上对端端口响应的native VLAN标签。的特性。

         1、在攻击者发出以太网帧时就带上2个tag。外层tag与攻击者接入端口的tag一致。内层tag与受害者所在VLAN一致。

         2、当该攻击帧进入交换机1后通过交换机1~2之间的Trunk 口时由于与Trunk口nativeVLAN一致所以剥离外层的tag标签 此时攻击帧还剩下一层与受害者VLAN相同的内层标签。

         3、当交换机2Trunk端口收到攻击帧后发现攻击帧VLAN与受害者VLAN相同 按照该VLAN转发。  至此完成了跨越VLAN的攻击。

 

         在协议立场上看，并没有违规事件——讲802.1Q的帧头部串接起来并不违法。

          有三种方法可以来组织该攻击:

         1、确保不将native VLAN分配给任何访问端口。

 

         2、从Trunk中清除native VLAN（不建议使用）。

 

         3、强制Trunk上的所有流量都携带一个tag（首选的方法）。 警告：当与不支持该方法的交换机互相通信时native VLAN上的通信会中断！

              配置：不同版本可以在全局或端口下配置

                  全局 CiscoSwitch（config）#vlan dot1q tag native

                  端口 CiscoSwitch（config）#interface GigabitEthernet2/1

                         CiscoSwitch（config-if）#switchport trunk native vlan tag

 

       此外就是一些针对VLAN透传相关协议的攻击

 

       动态中继协议DTP，是 VLAN 组中思科的私有协议，主要用于协商两台设备间链路上的中继过程及中继封装 802.1Q 类型。DTP的用途是取代动态ISL（Dynamic ISL，DISL）。

        针对性的在连接普通用户的LAN口配置成access端口并将它们植入一个static(静态)VLAN.这样该端口会静默的丢弃DTP帧。

 

 

 

 

 

另外 阅读华为的文档时  基于MAC 基于子网 基于策略等VLAN划分都有如下描述：

• 当收到的报文为untagged报文时，会以报文的源MAC地址为根据去匹配MAC-VLAN表项。如果匹配成功，则按照匹配到的VLAN ID和优先级进行转发；如果匹配失败，则按其它匹配原则进行匹配。

• 当收到的报文为tagged报文时，处理方式和基于接口的VLAN一样：如果接口允许携带该VLAN标记的报文通过，则正常转发；如果不允许，则丢弃该报文。
   
  若使用软件自行打上tag则可以不需要基于MAC 基于子网 基于策略匹配 可骗过交换机。（我推测的）所以....还是老老实实的做基于端口的VLAN划分吧