VLAN Hopping saldırısı, saldırganın olması gerekenin dışında diğer VLAN’lara yetkisiz erişim sağlamasına neden olan saldırı türüdür. Saldırgan, düzgün yapılandırılmayan ağ konfigürasyonlarından yararlanarak Frame’ler üzerinde değişiklik yaparak bu saldırıyı gerçekleştirir. Bu saldırının iki adet yöntemi vardır.
Double Tagging (Çift Etiketleme)
Saldırgan, sahte 802.1Q VLAN tag’lerini ekleyerek trafiği birden fazla VLAN’a göndermeye çalışır. Verilerin normalde izole bir şekilde gitmesi gerekirken VLAN’lar arasında geçiş yapabilir. Native VLAN’ların neden olduğu bu zafiyette Frame’ler etiketlenmediği için 802.1Q özelliği ile yapılandırılmış diğer portlar gelen verilerin geçişini sağlarlar.
Switch Spoofing (Switch Sahteciliği)
Saldırgan, kendi kullandığı portta gönderdiği frame’leri sahte bir VLAN tag’i ile etiketler. Bu VLAN etiketini switch’e trunk üzerinden gönderir. Switch’te bağlı olduğu portta DTP (Dynamic Trunking Protocol) açıksa veya direkt trunk olarak ayarlanmışsa gelen sahte VLAN tag’lerini okuyarak paket iletimlerini sağlar.
VLAN Hopping saldırısı nasıl önlenir?
VLAN Etiketlerinin Kontrol Edilmesi
Her portun doğru VLAN’a etiketlenmiş olması gerekiyor. Ağ cihazları haricinde ve gerekli olmayan portlarda trunk ayarlanmamalıdır.
Native VLAN Konfigürasyonu
Native VLAN yani VLAN 1 olabildiğince kullanılmamalıdır. ID 1 yerine daha farklı bir ID belirlenmelidir.
Port Modunun Doğru Ayarlanması
Portlarda Trunk’ı otomatik tespit ederek ağ yönetimini kolaylaştıran DTP (Dynamic Trunking Protocol) gibi sistemler kullanılmamalı ve erişim bazlı ayarlanmalıdır.
Port Güvenliği
MAC bazlı port security ayarları yapılabilir ve NAC 802.1X kimlik doğrulama yöntemleri kullanılabilir. Kullanılmayan portlar devre dışı bırakılabilir.
Fiziksel Güvenlik ve Port Uçlarının Takibi
Ne kadar gerekliyse o kadar uç ayarlayarak monitoring ve NAC gibi ağ güvenliğini yönetip izleyebileceğiniz hizmetler kullanılabilir. Fiziksel olarak sistem odası ve ağ cihazları daha güvenli yerlerde bulundurulmalıdır.