Double tagging :
Son principe consiste à envoyer une trame encapsulée avec deux en-têtes 802.1Q et lorsque cette trame es arrivé au commutateur (Switch_A), il le décapsule la premier champ (externe) en conservant l’autre et l’envoyé au Switch_B comme trame bien traité !!
Le trame arrive au Switch_B constituant le champ 802.1Q interne après le commutateur transmettre la trame à la destination.
Comme exemple d'un attaque double tagging, en considérons un serveur web sécurisé sur un réseau local virtuel appelé VLAN_10. Les hôtes sur VLAN10 sont autorisés à accéder au serveur web; les hôtes de l'extérieur du VLAN_20 sont bloqués par la couche 3 filtres. Un hôte attaquant sur un VLAN_20 crée un paquet spécialement formé pour attaquer le serveur web. Il place un étiquetage en-tête du paquet comme appartenant à VLAN_20 sur le dessus d'un autre marquage entête du paquet comme appartenant à VLAN_10. Lorsque le paquet est envoyé, l'interrupteur sur VLAN_20 voit l'en-tête VLAN_20 et le supprime, et transmet le paquet. Le commutateur VLAN_20 s'attend à ce que le paquet sera traité comme un paquet TCP standard par le commutateur sur VLAN_10. Toutefois, lorsque le paquet atteint VLAN_10, le commutateur voit une étiquette indiquant que le paquet fait partie de VLAN_10, et contourne ainsi la couche 3 de manutention, la traitant comme une couche de 2 paquets sur le même VLAN logique. Le paquet arrive donc au serveur cible, comme si il a été envoyé depuis un autre hôte sur VLAN_10, ignorant toute la couche 3 de filtrage qui pourraient être mises en place.Et pour plus d’informations sur ce type d’attaque visitez ce lien http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml
Enfin pour éviter ce type des attaques la solutions est d’envoyer tous les paquets de ce genre vers un vlan dédié (vlan de gestion).
Switch_A(config)#vlan 99
Switch_A(config)#int Fa 0/0
Switch_A(config-if)#switchport trunk native vlan
0 commentaires:
Enregistrer un commentaire