-
O erro está em "tráfego bidirecional"
O atacante é capaz de forjar os frames para alcançar uma outra VLAN, porém esse tráfego não é capaz de voltar.
-
ERRADO
-
VLAN hopping é um um método de atacar recursos de rede em uma VLAN. O conceito básico é atacar uma VLAN para ter acesso ao tráfego em outras VLANs que normalmente não seriam acessíveis. Existem dois métodos principais: spoofing interruptor e double tagging. Ambos os vetores de ataque podem ser facilmente mitigados com a configuração adequada do switchport.
fonte: http://en.wikipedia.org/wiki/VLAN_hopping
-
VLAN hopping enables traffic from one VLAN to be seen by another VLAN. Switch spoofing is a type of VLAN hopping attack that works by taking advantage of an incorrectly configured trunk port. By default, trunk ports have access to all VLANs and pass traffic for multiple VLANs across the same physical link, generally between switches.
This type of attack is unidirectional and works only when the attacker is connected to a port residing in the same VLAN as the native VLAN of the trunk port. Thwarting this type of attack is not as easy as stopping basic VLAN hopping attacks.
The best approach to mitigating double-tagging attacks is to ensure that the native VLAN of the trunk ports is different from the VLAN of any user ports. In fact, it is considered a security best practice to use a fixed VLAN that is distinct from all user VLANs in the switched network as the native VLAN for all 802.1Q trunks
FONTE: https://goo.gl/hirHbj
-
Gabarito Errado
VLAN hopping é um ataque à rede em que o intruso envia pacotes destinados a um host em uma VLAN diferente, que normalmente não podem ser alcançados pelo intruso. Este tráfego é marcado com um ID de VLAN diferente da que o intruso pertence. Ou então, o intruso pode estar tentando se comportar como um switch e negociar entroncamento para que ele possa enviar e receber tráfego entre outras VLANs diferente da dele.
Switch-Spoofing - Em um ataque de VLAN Hopping, o intruso da rede configura um sistema para se passar por um switch, isso exige que o intruso seja capaz de emular o protocolo ISL ou 802.1q juntamente com o DTP (Dynamic Trunk Protocol). Sendo assim capaz de simular uma porta trunking e negociar através do DTP com outro switch e caso obtenha sucesso, o intruso será membro de todas as outras vlans.
Como prevenir/mitigar: Desabilite o DTP em todas as portas e habilite manualmente apenas nas portas.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
-
A VLAN Nativa, assumindo que você está utilizando o protocolo 801.1Q em seus trunks, é enviada sem marcação de quadros por padrão. Essa mesma VLAN acaba tendo também a função de VLAN de Gerenciamento nos switches L2.
Saiba que por padrão um switch gerenciável que suporta VLANs traz suas portas na VLAN 1, pelo menos maioria deles.
Mas qual o risco de usar portas na VLAN 1?Na prática é possível gerar tráfego de uma determinada VLAN e direcioná-lo para outra VLAN diferente.
Normalmente esse tráfego é unidirecional, ou seja, não vai dar possibilidade de retorno a quem está fazendo o envio malicioso.
Normalmente esse tipo de ataque é chamado de VLAN Hopping e pode ser realizado de duas maneiras, através do Switch Spoofing e do Double Tagging.
Fonte:
[1] https://www.dltec.com.br/curso/redes/switches-ethernet-parte-1?src=blogpost_8740