VLANホッピング
この記事は英語版の対応するページを翻訳することにより充実させることができます。(2022年2月) 翻訳前に重要な指示を読むには右にある[表示]をクリックしてください。
|
VLANホッピング とは、トランク機能を悪用して本来はアクセス出来ないVLANにアクセスするレイヤ2レベルの攻撃である[1]。これにより、VLAN上のネットワークリソースに不正にアクセス出来る。エクスプロイトの一つである。攻撃手法は「DTPによるVLANホッピング」と、「ダブルタグによるVLANホッピング」に大別される。
解説
編集- DTPによるVLANホッピング
- 一般ユーザに開放しているアクセスポートをDTPによって不正にトランクポートに変更させて、全てのVLANと通信可能にする攻撃。これを防ぐ手段として、DTPの無効化がある。
- ダブルタグによるVLANホッピング
- VLANタグを2重に付けて、異なるVLANにアクセスする攻撃。これはネイティブVLANがタグを付けないことを悪用している。これを防ぐ手段として、以下のいずれかを設定するとよい。
- ①ネイティブVLANでもタグが付く設定にする - (config)#vlan dot1q native
- ②ネイティブVLANの変更 - (config-if)#switchport trunk native vlan <VLAN番号>
- ③スイッチ内のVLANにACL(VACLと呼ぶ)を適用する[2]