Network

VLAN Hopping Saldırısı Nedir ve Nasıl Önlenir?

VLAN Hopping saldırısı, saldırganın olması gerekenin dışında diğer VLAN’lara yetkisiz erişim sağlamasına neden olan saldırı türüdür. Saldırgan, düzgün yapılandırılmayan ağ konfigürasyonlarından yararlanarak Frame’ler üzerinde değişiklik yaparak bu saldırıyı gerçekleştirir. Bu saldırının iki adet yöntemi vardır.

     Double Tagging (Çift Etiketleme)

Saldırgan, sahte 802.1Q VLAN tag’lerini ekleyerek trafiği birden fazla VLAN’a göndermeye çalışır. Verilerin normalde izole bir şekilde gitmesi gerekirken VLAN’lar arasında geçiş yapabilir. Native VLAN’ların neden olduğu bu zafiyette Frame’ler etiketlenmediği için 802.1Q özelliği ile yapılandırılmış diğer portlar gelen verilerin geçişini sağlarlar.

 

Switch Spoofing (Switch Sahteciliği)

Saldırgan, kendi kullandığı portta gönderdiği frame’leri sahte bir VLAN tag’i ile etiketler. Bu VLAN etiketini switch’e trunk üzerinden gönderir. Switch’te bağlı olduğu portta DTP (Dynamic Trunking Protocol) açıksa veya direkt trunk olarak ayarlanmışsa gelen sahte VLAN tag’lerini okuyarak paket iletimlerini sağlar.


VLAN Hopping saldırısı nasıl önlenir?


VLAN Etiketlerinin Kontrol Edilmesi

Her portun doğru VLAN’a etiketlenmiş olması gerekiyor. Ağ cihazları haricinde ve gerekli olmayan portlarda trunk ayarlanmamalıdır.

Native VLAN Konfigürasyonu

Native VLAN yani VLAN 1 olabildiğince kullanılmamalıdır. ID 1 yerine daha farklı bir ID belirlenmelidir.

Port Modunun Doğru Ayarlanması

Portlarda Trunk’ı otomatik tespit ederek ağ yönetimini kolaylaştıran DTP (Dynamic Trunking Protocol) gibi sistemler kullanılmamalı ve erişim bazlı ayarlanmalıdır.

Port Güvenliği

MAC bazlı port security ayarları yapılabilir ve NAC 802.1X kimlik doğrulama yöntemleri kullanılabilir. Kullanılmayan portlar devre dışı bırakılabilir.

Fiziksel Güvenlik ve Port Uçlarının Takibi

Ne kadar gerekliyse o kadar uç ayarlayarak monitoring ve NAC gibi ağ güvenliğini yönetip izleyebileceğiniz hizmetler kullanılabilir. Fiziksel olarak sistem odası ve ağ cihazları daha güvenli yerlerde bulundurulmalıdır.