Új hozzászólás Aktív témák

• #1811 Tsory tag tusi_ #1809

  Új Válasz 2012-08-29 09:12:35 #1811

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Tsory

  tag

  válasz tusi_ #1809 üzenetére

  Ezek szerint már legalább kétféleképpen lehet védekezni a VLAN hopping ellen (CCNP SWITCH 642-813 Official Certification Guide)

  1. Native VLAN pruning:

  a. Set the native VLAN of a trunk to a bogus or unused VLAN ID.
  b. Prune the native VLAN off both ends of the trunk.

  Vannak olyan protokollok, amelyek mindenképpen a native VLAN-ban közlekednek, de benne van a doksiban (amit be is hivatkoztál), hogy ezek a forgalmak ekkor is átmennek (CDP, PAgP, DTP).

  Érdekességképpen volt, aki megnézte, hol közlekednek ezek a protokollok, és azt találta, hogy a CDP, VTP, PAgP, UDLD mindig a VLAN1-ben közlekedik, amit nem is lehet prunolni. Így csak az STP és DTP lehet érdekes prunolt native VLAN esetében:

  STP and DTP frames have no relation to VLAN, so are always transmited over Native VLAN. CDP/VTP/PAgP/UDLD are always transmited over VLAN 1, if Native VLAN is 1 then will be transmited in untagged form, if VLAN 1 is tagged (Native VLAN is other VLAN then 1), protocols will be tagged with 1.

  http://www.netcontractor.pl/blog/?tag=native-vlan

  2. Native VLAN tagging:

  One alternative is to force all 802.1Q trunks to add tags to frames for the native VLAN, too. The double-tagged VLAN hopping attack won’t work because the switch won’t remove the first tag with the native VLAN ID (VLAN 10 in the example). Instead, that tag will remain on the spoofed frame as it enters the trunk. At the far end of the trunk, the same tag will be examined, and the frame will stay on the original access VLAN (VLAN 10). To force a switch to tag the native VLAN on all its 802.1Q trunks, you can use the following command:

  Switch(config)# vlan dot1q tag native

Új hozzászólás Aktív témák