Kategorie: Sicherheit
VLANs werden mitunter eingesetzt, um Netzte voneinander zu trennen. Zwischen des einzelnen Layer 2-Netzen wird dann geroutet. Die Router können auf dem Layer 3 bestimmte Zugriffe zwischen den Netzen verbieten.
VLAN Hopping ist eine Angriffstechnik, die versucht, ohne den Weg über einen Router, Frames in ein anderes VLAN zu schleusen.
Dazu gibt es zwei Techniken. Die eine Möglichkeit besteht darin, einen normalen Access-Port zu einem Trunk zu machen. Steht ein Cisco-Switch zum Beispiel auf Desirable oder Auto, kann ein Angreifer den Port zum Trunk machen und Frames in andere VLANs senden.
Eine andere Möglichkeit ist die Double encapsulated VLAN hopping attack. Dabei sendet der Angreifer Frames an einen Trunkport, die zwei VLAN-Header enthalten. Dre Switch akzeptiert den Frame und entfernt des ersten VLAN-Header. Akzeptiert den Switch auf den zweiten VLAN-Tag, kann der Angreifer Frames in ein anderes VLAN einschleusen.
Fragen zur Netzwerksicherheit können Sie im Netzwerkforum diskutieren.
>> Kommentar von Bernie geschrieben am 12.12.2005
Wie kann man sich gegen VLAN Hopping schützen? Gibt es ein spezielles Feature das man auf Cisco Switches konfigurieren kann?
Suchbegriffe: ACL, ISL, IEEE 802.1q, dot1q, Double Tagging