منو
منو
  • خانه
  • امنیت
  • تأمین امنیت روترها (Routers) و سوئیچ‌ها (Switches) سیسکو: انواع حمله VLAN Hopping

تأمین امنیت روترها (Routers) و سوئیچ‌ها (Switches) سیسکو: انواع حمله VLAN Hopping

cisco-devices-security-vlan-hopping-Types-00

مقدمه‌ای بر امنیت شبکه داخلی سازمان

در مقالات گذشته بیان کردیم که یکی از مهم‌ترین مسئولیت‌های مدیران شبکه سازمان‌ها برقراری امنیت شبکه داخلی از تهدیدات خارجی و داخلی می‌باشد. چراکه حملات در برابر امنیت شبکه سازمان می‌تواند خسارت‌های جبران‌ناپذیری به سازمان‌ها وارد کنند. به‌عنوان نمونه درز اطلاعات به خارج از سازمان یا ورود باج افزارها و رمزنگاری اطلاعات حساس سازمان ازجمله این خطرات امنیتی می‌باشد. با توجه به این خطرات بنابراین تأمین امنیت شبکه سازمان امری حیاتی می‌باشد. در مقالات گذشته با برخی از حملات شبکه داخلی چون Rouge DHCP و همچنین VLAN Hopping آشنا شدیم. در این مقاله نیز قصد داریم تا به بررسی دقیق‌تر حمله VLAN Hopping به امنیت شبکه داخلی بپردازیم.

VLAN بندی یکی از راه‌کارهای افزایش امنیت شبکه داخلی

سازمان‌ها به‌منظور افزایش امنیت شبکه داخلی اقدام به ایجاد VLAN های مختلف برای هر یک از دپارتمان‌ها می‌کنند. ازجمله پرکاربردترین این بخش‌بندی‌ها نیز ایجاد یک VLAN جدا برای دپارتمان مالی و دپارتمان حراست می‌باشد. بنابراین کاربران بخش‌های دیگر نمی‌توانند به ترافیک عبوری از این VLAN ها دست یابند. مسئله آنجا مهم می‌شود که در صورت عدم تأمین امنیت روترها (Routers) و سوئیچ‌ها (Switches) سیسکو که تجهیزاتی می‌باشند که بسیار در سازمان‌های بزرگ و Enterprise کاربران عادی با نیات مخرب می‌توانند به ترافیک دیگر VLAN ها دست‌یافته و به بررسی این ترافیک‌ها بپردازند.

Security Banner

در این حالت است که می‌گوییم حمله VLAN Hopping واقع‌شده و امنیت شبکه داخلی سازمان به خطر افتاده است. به‌طورکلی دو نوع حمله VLAN Hopping وجود دارد که با استفاده از این دو نوع خرابکاران به امنیت شبکه داخلی سازمان ضربه می‌زنند. نوع اول حملات Switch spoofing و نوع دوم Double tagging در این مقاله به هر دو این حملات خواهیم پرداخت.

حمله Switch Spoofing در برابر امنیت شبکه داخلی

پروتکل DTP جهت ایجاد خودکار لینک‌های Trunk بین دو سوئیچ (Switch) استفاده می‌شود. جهت پیکره‌بندی آن نیز از حالت‌های مختلف dynamic desirable, dynamic auto و Trunk استفاده می‌شود. Switch Spoofing یکی از انواع حملات امنیتی VLAN Hopping می‌باشد.

cisco-devices-security-vlan-hopping-Types-02

هر Interface در سوئیچ که به دستگاه کاربران متصل می‌باشد در حالت Access قرار دارند و دستگاه کاربران نیز تنها به VLAN مخصوص خود دسترسی دارند. بنابراین ترافیک دیگر VLAN ها از طریق Interface مذکور Forward نخواهند شد. موقعیتی را در نظر بگیرید که حمله‌کننده به یکی از Interface های سوئیچی متصل است که روی یکی از حالت‌های dynamic desirable, dynamic auto و یا Trunk تنظیم‌شده است.درصورتی‌که این کاربر مخرب یا حمله‌کننده به نحوی با ابزارهای گوناگون موجود در اینترنت بتواند یک پیام DTP ایجاد کند، بین کامپیوتر و سوئیچ یک لینک Trunk ایجاد خواهد شد. راه دیگری که حمله‌کنندگان می‌توانند از آن در حملات Switch Spoofing استفاده کنند اتصال یک Rouge Switch به Interface که بر روی یکی از حالت‌های dynamic desirable, dynamic auto و یا Trunk تنظیم‌شده می‌باشد.

زمانی که لینک Trunk شکل گرفت، حمله‌کننده می‌تواند به‌راحتی به ترافیک تمامی VLAN ها دست یابد و تمامی ترافیک‌ها را شنود کند.

جلوگیری از حمله Switch Spoofing در برابر امنیت شبکه داخلی

برای جلوگیری از حمله VLAN Hopping به امنیت شبکه داخلی سازمان با روش Switch Spoofing اقدامات زیر را انجام دهید.

پورت‌هایی که به دستگاه کاربران متصل می‌شوند باید فقط در حالت Access باشند (هیچ‌گاه یک Access Port را در حالت‌های dynamic desirable, dynamic auto و یا Trunk تنظیم نکنید).

بهترین تنظیم در سوئیچ‌های (Switches) سیسکو نیز این است که تمامی پورت‌ها را به‌محض از کارتن درآوردن سوئیچ در حالت Access تنظیم کرده و درنهایت تنها پورت‌های لازم را تغییر حالت دهید.

هنگام تغییر حالت نیز تنها به یک حالت خاص تغییر حالت دهید و از DTP استفاده نکنید.

درنهایت پورت‌هایی که استفاده نمی‌شوند را خاموش‌کنید.

حمله Double Tagging در برابر امنیت شبکه داخلی

نوع دیگر حملات VLAN Hopping حمله Double tagging می‌باشد. در این حمله که تنها در صورتی اتفاق می‌افتد که حمله‌کننده به پورتی متصل باشد که متعلق به Native VLAN می‌باشد می‌تواند به‌راحتی ترافیک VLAN قربانی را بررسی کند. باید خاطرنشان کرد که Double tagging یک حمله یک‌طرفه می‌باشد. این نوع از حمله از فرایند حذف تگ‌ها در سوئیچ‌ها استفاده می‌کنند.

cisco-devices-security-vlan-hopping-Types-03

جلوگیری از حمله Double Tagging در برابر امنیت شبکه داخلی

به‌منظور جلوگیری از وقوع حمله VLAN Hopping از نوع Double Tagging هیچ‌یک از پورت‌ها را در Native VLAN قرار ندهید.

امید است مطالب گروه چشم انداز نو برای شما مفید بوده باشد.

ما در چشم انداز نو با نظرات شما اقدام به برطرف کردن مشکلات و کمبودها می‌کنیم.

 با امتیاز خود به این مطلب به بهبود مطالب کمک کنید!

[ratings]

گروه چشم انداز نو با دارا بودن کارشناسان متخصص اماده ارائه خدمات و اموزش شبکه، دیتاسنتر،طراحی،نصب، آموزش پیاده

سازی و راه اندازی  میل سرور، ارتباط یکپارچه VoIP، سیستم های مدیریت و مانیتورینگ کاربران، مجازی سازی سرور، ویندوز سرور، مایکروسافت، Vmware، مجازی سازی دسکتاپ،  Desktop، سیستم سنتر، میل سرور سازمانی Outlook، System Center  خدمات شبکه خدمات مجازی سازی

0/5 ( 0 نظر )

چند لحظه درنگ

آموزش نصب Cisco Secure ACS
مدیریت دسترسی ها در سیسکو
سطوح دسترسی در تجهیزات سیسکو
نکات امنیتی جهت افزایش امنیت روتر و سوئیچ سیسکو
آموزش Cisco Configuration Professional
پیکربندی روتر سیسکو برای اتصال از طریق SSH
فوریه 11, 2023

0 پاسخ به "تأمین امنیت روترها (Routers) و سوئیچ‌ها (Switches) سیسکو: انواع حمله VLAN Hopping"

ارسال یک پیغام

نشانی ایمیل شما منتشر نخواهد شد.

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

تمامی حقوق برای گروه چشم انداز نو محفوظ است

جهت مشاوره رایگان و آگاهی از شرایط سرویس دهی با شماره
56721084 ۰۲۱
و یا شماره موبایل
۹۰۶۰۲۵4 ۰۹۳۶
تماس حاصل فرمایید.

تماس با ما