Ataques de VLAN

La arquitectura VLAN simplifica el mantenimiento de la red y mejora el rendimiento, pero también posibilita el uso indebido. Existen diversos ataques relacionados con VLAN.

La figura muestra un tipo de amenaza de VLAN: el ataque de suplantación de switch. El atacante intenta acceder a la VLAN configurando un host para que suplante a un switch y use el protocolo de enlace troncal 802.1Q y la función de protocolo de enlace troncal dinámico (DTP) patentada por Cisco para establecer un enlace troncal con el switch que se conecta. Si tiene éxito y el switch establece un enlace troncal con el host, el atacante podrá acceder a todas las VLAN del switch y podrá desviar (es decir, enviar y recibir) tráfico en todas las VLAN.

Hay varias maneras de mitigar los ataques de VLAN:

• Configure explícitamente los enlaces de acceso

• Deshabilite explícitamente los enlaces troncales automáticos

• Habilite manualmente los enlaces troncales

• Deshabilite los puertos sin usar, conviértalos en puertos de acceso y asígnelos a una VLAN de agujero negro

• Cambie la VLAN nativa predeterminada

• Implemente seguridad de puertos