11.2 Mitigate VLAN Attacks
Что именно нужно ломать у attacker’а
VLAN hopping обычно опирается на:
- DTP auto negotiation;
- плохой trunk hygiene;
- native VLAN misuse;
- live unused ports.
Поэтому mitigation здесь довольно “механический”: максимально явно задать поведение ports.
Steps to mitigate VLAN hopping
Модуль даёт такую логику:
- disable DTP on non-trunking ports;
- disable unused ports и отправить их в unused VLAN;
- trunk links вручную делать trunk;
- на trunks отключать DTP;
- менять native VLAN на не-
1.
Базовые команды
interface range fa0/1 - 16
switchport mode access
interface range fa0/17 - 20
switchport mode access
switchport access vlan 1000
shutdown
interface range fa0/21 - 24
switchport mode trunk
switchport nonegotiate
switchport trunk native vlan 999switchport access vlan 1000 ciscoIOScommand
Назначает access port в unused VLAN.
switchport mode trunk ciscoIOScommand
Явно включает trunk mode на interface.
switchport nonegotiate ciscoIOScommand
Отключает DTP negotiation на interface.
switchport trunk native vlan 999 ciscoIOScommand
Меняет native VLAN на non-default VLAN.
Быстрая таблица
| Проблема | Что делать |
|---|---|
| Auto trunking | switchport mode access или switchport nonegotiate |
| Unused ports | unused VLAN + shutdown |
| Native VLAN abuse | сменить native VLAN c 1 |
| Rogue trunk | manual trunk only |
Самая важная логика
Не оставляй switch “догадываться”, trunk это или access. Задавай режим вручную.
Если понял тему
Ты можешь быстро hardened trunk/access design против VLAN hopping и double-tagging.