Ataques de VLAN
La arquitectura VLAN simplifica el mantenimiento de la red y mejora el rendimiento, pero también posibilita el uso indebido. Existen diversos ataques relacionados con VLAN.
La figura muestra un tipo de amenaza de VLAN: el ataque de suplantación de switch. El atacante intenta acceder a la VLAN configurando un host para que suplante a un switch y use el protocolo de enlace troncal 802.1Q y la función de protocolo de enlace troncal dinámico (DTP) patentada por Cisco para establecer un enlace troncal con el switch que se conecta. Si tiene éxito y el switch establece un enlace troncal con el host, el atacante podrá acceder a todas las VLAN del switch y podrá desviar (es decir, enviar y recibir) tráfico en todas las VLAN.
Hay varias maneras de mitigar los ataques de VLAN:
- Configure explícitamente los enlaces de acceso
- Deshabilite explícitamente los enlaces troncales automáticos
- Habilite manualmente los enlaces troncales
- Deshabilite los puertos sin usar, conviértalos en puertos de acceso y asígnelos a una VLAN de agujero negro
- Cambie la VLAN nativa predeterminada
- Implemente seguridad de puertos