بررسی حمله Double Tagging Attack

بررسی حمله Double Tagging Attack

مقدمه

زمانیکه روی Switch خود VLAN ها را پیکربندی میکنیم ارتباطی در حالت پیشفرض بین VLAN ها وجود ندارد و برای ایجاد ارتباط بین VLAN ها از Inter VLAN Routing بر اساس نیاز ها و سیاست های مورد نظرمان استفاده میکنیم.

اما روش هایی وجود دارد که مهاجم با استفاده از این روش ها به صورت غیر مجاز از یک VLAN به VLAN دیگر نفوذ می کند. ما قصد داریم در این مقاله در وب سایت سرور سوییچ  شما را با این روش ها و نحوه مقابله با آن ها آشنا کنیم.

 

 

بررسی حمله Double Tagging Attack

 

Double Tagging

در این Attacker از روش Native VLAN برای نفوذ استفاده می کند.

از قابلیت Tag گذاری 802.1Q و پروسه حذف کردن Tag در انواع مختلف سوییچ ها سو استفاده می کند و در بسیاری از سوییچ ها فقط یک تگ 802.1Q را حذف میکنند.

در این نوع حمله Attacker به گونه ای Frame اصلی را تغییر میدهد که دو تگ VLAN به آن اضافه میکند.

 

یک تگ خارجی، که تگ مربوط به VLAN خودش می شود و یک تگ داخلی مخفی که تگ VLAN قربانی Device مورد حمله است.

در اینجا PC حمله کننده باید عضو Native VLAN لینک Trunk باشد.

وقتی که Frame با دو تا تگ (Double tagged frame)  به سوییچ می رسد، سوییچ می تواند فقط تگ VLAN خارجی را ببیند که اینترفیس واقعا مربوط به آن است.

حالا سوییچ VLAN Tag خارجی را حذف می کند و به تمامی پورت های که عضو Native-VLAN باشند ارسال ترافیک را انجام میدهد. یک کپی از Frame برای لینک Trunk ارسال می شود تا بدست سوییچ بعدی برسد.

وقتی که Frame به سوییچ دوم می رسد، سوییچ Frame را باز میکند تا تگ دوم را ببیند، فکر می کند که Frame مربوط به VLAN 100 می باشد و بنابر این آن را به VLAN 100 ارسال می کند.

به طور مثال VLAN 10 به عنوان Native-VLAN ما است، و نفوذگر که در Native-VLAN قرار دارد می خواهد به VLAN-20 نفوذ کند. پس بسته مورد نظر خود را با تگ 20 ارسال می کند. سوییچ با دریافت Frame تگ 10 را روی آن میزند که باعث می شود Frame ما دارای دو تا تگ بشود. این Frame هنگامیکه روی پورت ترانک ارسال می شود، Tag مربوط به Native-VLAN آن حذف میشود، اما همچنان تگ 20 را دارد.

 

در نتیجه، هنگام دریافت فریم توسط سوییچ مقابل با دیدن تگ 20 روی فریم، آن را تحویل VLAN 20 میکند. بدین صورت است که مهاجم از VLAN-10 به VLAN-20 نفوذ می کند.

 

راهکار قابله با این نوع Attack

Native VLAN هم با Tag باید ارسال بشود، که می توان با دستور زیر این کار را عملی کرد:

 

Switch(config-if)# switchport trunk native vlan tag

 

نکته: دقت کنید که دستورات و مباحث گفته شده در سطح CCNP Switch می باشند و دستورات مرتبط با دستگاه های سیسکو گفته شده اند.

پروتکل VCMP

پروتکل VCMP

 

در دیوایس های شرکت Huawei پروتکل VTP وجود ندارد ، چرا که این پروتکل مخصوص وندور سیسکو می باشد. اما در این برند پروتکل دیگری وجود دارد که می تواند نقش VTP را ایفا کند. این پروتکل در Huawei پروتکل VCMP نام دارد.

 

VCMP: VLAN Central Management Protocol

 

این پروتکل یک پروتکل لایه دومی بوده و در مدل OSI مطرح می شود، انتقال اطلاعات از VLAN ها را در لایه دوم بصورت تضمینی انجام می دهد.

VCMP یک پروتکل اختصاصی از سمت از طرف برند Huawei می باشد، پشتیبانی از VCMP در سوییچ های شرکت Huawei از مدل های سری S و مدل V200R005 شروع شده است.

 

اهداف

در اکثر موارد سوییچ هایی که در یک شبکه Enterprise مشغول به فعالیت هستند مستلزم این امر می باشند که یک هماهنگ سازی با اطلاعاتی که از VLAN های آنها وجود دارد با یکدیگر انجام بدهند تا امکان این را داشته باشند که داده ها به صورت تضمینی در شبکه ارسال کنند.

در یک شبکه Enterprise در یک مقیاس کوچک، ادمین شبکه می تواند وارد هر یک از سوییچ ها شده و تنظیمات منحصر به فرد آن ها را انجام بدهد و از تمامی VLAN ها نگهداری بکند و تنظیمات مربوط به آن ها را انجام دهد.

در شبکه Enterprise سوییچ های زیادی وجود دارد که در شبکه مستقر شده اند. پس مقدار زیادی از اطلاعات VLAN ها در این جریان وجود دارد که مستلزم تنظیمات و نگهداری در شبکه ما هستند.

اگر ادمین شبکه کلیه تنظیمات و دستورات موجود برای نگهداری از شبکه و VLAN ها را بخواهد بصورت دستی انجام دهد، ادمین شبکه باید بار گذاری این پروسه سنگین را عهده دار باشد، و از طرفی ممکن است اطلاعات VLAN ها ثابت و پایدار نباشد.

برای رسیدگی با مشکلی که در شبکه با آن روبرو هستیم (حجم زیاد پروسس ها برای ادمین که می تواند وقت زیادی را شامل شود و از طرفی خطای کار از طرف ادمین به دلیل حجم انبوه را شامل می باشد) از پروتکل VCMP برای مدیریت و راه اندازی VLAN ها بصورت مرکزی در شبکه خود می توانیم بهره ببریم.

ادمین یک شبکه نیازمند این امر می باشد که بتواند VLAN ها را بسازد و آن ها را حذف و یا ویرایش کند که تمامی این امور بر روی سوییچ انجام می شود.

تغییرات روی یک سوییچ بصورت خودکار با بقیه سوییچ ها در یک محدوده تعیین شده هماهنگ سازی می شود که احتیاج به اعمال سازی این تنظیمات به صورت دستی بر روی سایر سوییچ ها وجود ندارد. در واقع یک سوییچ به عنوان سوییچ اصلی انتخاب می شود، و سایر سوییچ ها از این سوییچ و تنظیماتی که در این سوییچ به کار گرفته شده است استفاده می کنند.

 

نکات

  • VCMP تنها می تواند به ادمین شبکه در همگام سازی اطلاعات VLAN ها کمک کند.
  • VLAN ها به صورت Dynamic نمی توانند در شبکه به وجود بیایند.
  • VCMP اغلب از پروتکل Link-Type یا (LNP) برای ساده سازی تنظیمات کاربر استفاده می کند.

 

پروتکل VCMP مزایای زیر را برای ما به ارمغان می آورد:

 

مدیریت و نگهداری یک VLAN متمرکز را بر عهده دارد، و کاهش حجم پشتیبانی و نگهداری شبکه را عهده دار خواهد بود و سطح بهینه بودن شبکه مشخصا بالاتر خواهد رفت.

تنظیمات در شبکه و محدوده مشخص ما می تواند بصورت خودکار اجرا گردد، و در  دسترسی سوییچ ها این امر باید مشخص شود. در صورت انجام تنظیمات کلی می تواند گزینه بسیار مفیدی برای پشتیبانی و نگهداری در شبکه باشد.

 

VCMP و موجودیت های مرتبط با آن

VCP Domain

  • یک VCP Domain شامل سوییچ هایی می باشد که دارای یک VCP Domain هم نام هستند و به عبارتی فقط یک VCP Domain
  • برای کلیه سوییچ ها وجود دارد. به عنوان مثال ServerSwitch.Ir و کلیه سوییچ ها همین عبارت را به عنوان VCP Domain در نظر می گیرند، این VCP Domain می تواند از طریق اینترفیس های Trunk یا Hybrid در سوییچ ها اتصال خودش را برقرار نماید.
  • توجه داشته باشید که هر سوییچ فقط می تواند به یک VCP-Domain متصل باشد.
  • سوییچ ها با داشتن VCP-Domain های متفاوت نمی توانند همگام سازی اطلاعات VLAN ها را انجام بدهند.
  • یک VCP-Domain یک محدوده را برای سوییچ Administrative و مدیریت سایر سوییچ ها تعیین می کند.
  • سوییچ ها در یک VCP Domain بوسیله Administrative Switch مدیریت می شوند.
  • ما فقط یک سوییچ از نوع Administrative داریم، ولی می توانیم چندین سوییچ قابل مدیریت را در VCP-Domain خودمان داشته باشیم.

 

 

X
Add to cart