VLAN-Hopping
Was ist VLAN-Hopping?
VLAN-HoppingSwitch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging.
VLAN-Hopping missbraucht die Layer-2-Segmentierung der 802.1Q-Tags. Zwei Varianten existieren: Switch-Spoofing, bei dem der Angreifer per DTP einen Trunk aushandelt und Zugang zu allen erlaubten VLANs erhält; und Double-Tagging, bei dem ein Frame mit zwei 802.1Q-Headern gesendet wird – äußeres Tag entspricht dem Native-VLAN des Trunks, inneres dem Opfer-VLAN – sodass der erste Switch das äußere Tag entfernt und den Frame über den Trunk ins innere VLAN weiterleitet. Der Traffic ist meist einseitig, ermöglicht aber Aufklärung oder DoS. Abwehr: DTP deaktivieren (switchport mode access, switchport nonegotiate), dediziertes ungenutztes Native-VLAN, Native-VLAN explizit taggen, Trunks auf Nutzer-Ports vermeiden.
● Beispiele
- 01
Yersinia-DTP-Angriff handelt einen Trunk auf einem Access-Port aus und erreicht das Management-VLAN.
- 02
Double-getaggtes ICMP-Paket, das einen Server in einem anderen VLAN über das Native-VLAN erreicht.
● Häufige Fragen
Was ist VLAN-Hopping?
Switch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet VLAN-Hopping?
Switch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging.
Wie schützt man sich gegen VLAN-Hopping?
Schutzmaßnahmen gegen VLAN-Hopping kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für VLAN-Hopping?
Übliche alternative Bezeichnungen: Switch-Spoofing, 802.1Q-Double-Tagging, Q-in-Q-Hopping.