Español | English
rss facebook linkedin Twitter

Ataques sobre el nivel 2 del modelo OSI (VII): 802.1Q

El protocolo IEEE 802.1Q es una especificación pública. Describe el formato de los paquetes que pasan por enlaces de trunking. Debido a la naturaleza abierta de la especificación, este estándar se encuentra ahora aceptado por la mayoría de los fabricantes y es la manera común de establecer trunks entre switches de distintos fabricantes. Sin embargo, no es el único protocolo. Algunos fabricantes tiene su propia solución. Por ejemplo, Cisco usa su protocolo propietario ISL (Inter-Switch Link).

Cuándo un switch recibe una trama, añade una marca 802.1Q (4 bytes), recalcula el FCS (Frame Check Sequence) y envía la trama original con las modificaciones por el enlace de trunking. El campo VID identifica la VLAN a la que pertenece el paquete. Este identificador puede variar entre 0 y 4096. Teóricamente, si hemos establecido el trunking y el switch soporta 802.1Q, podremos enviar paquetes a VLANs distintas.
Para utilizar 802.1Q es obligatorio tener establecido un trunk. En la sección anterior hemos visto con DTP y, además, especificar el encapsulamiento que se llevará a cabo con 802.1Q. Supongamos, entonces, que el enlace de trunk ha sido establecido en el puerto correspondiente. Los ataques contra 802.1Q pueden dividirse en dos clases:
  • enviar tramas 802.1Q con el fin de enviarlas a VLANs no pertenecientes al atacante,
  • uso de tramas 802.1Q doblemente encapsuladas – este tipo de ataque añade dos marcas al paquete original con el propósito de utilizar la VLAN de la segunda marca como destino, una vez que el switch ha eliminado la primera marca.
Intentemos primero enviar tramas 802.1Q doblemente encapsuladas con Yersinia. En la pantalla de 802.1Q, rellenamos los campos con valores por defecto (tecla [d]) y vamos al modo edición (tecla [e]). Ahora cambiamos el campo Source MAC con el valor 66:66:66:66:66:66, seguidamente cambiamos el campo VLAN con el valor 16 y VLAN2 con el valor 1. Finalmente, salgamos del modo editor ([return]). Ahora vamos a la ventana de ataques con [x], y elegimos el ataque sending 802.1Q double enc. packet.

Yersinia usa 802.1Q para enviar paquetes ICMP Echo Request con el payload YERSINIA. Se puede apreciar perfectamente que hemos enviado un paquete 802.1Q doblemente encapsulado – primero con la VLAN 16 y finalmente con la VLAN 1.
Paquete ICMP Echo Request de Yersinia decodificado con Ethereal
Ethernet II, Src: 66:66:66:66:66:66, Dst: ff:ff:ff:ff:ff:ff
Destination: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Source: 66:66:66:66:66:66 (66:66:66:66:66:66)
Type: 802.1Q Virtual LAN (0x8100)
802.1q Virtual LAN
111. .... .... .... = Priority: 7
...0 .... .... .... = CFI: 0
.... 0000 0001 0000 = ID: 16
Type: 802.1Q Virtual LAN (0x8100)
802.1q Virtual LAN
111. .... .... .... = Priority: 7
...0 .... .... .... = CFI: 0
.... 0000 0000 0001 = ID: 1
Type: IP (0x0800)
Internet Protocol, Src Addr: 10.0.0.1 (10.0.0.1), Dst Addr: 255.255.255.255 (255.255.255.255)
Protocol: ICMP (0x01)
Source: 10.0.0.1 (10.0.0.1)
Destination: 255.255.255.255 (255.255.255.255)
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Checksum: 0xb953 (correct)
Identifier: 0x0042
Sequence number: 00:42
Data (8 bytes)
0000 59 45 52 53 49 4e 49 41 YERSINIA
Este ataque sólo demuestra que podemos inyectar tráfico a otras VLANs (esto es conocido como VLAN-hopping). Sin embargo se pueden realizar ataques más sofisticados, tipo Man-in-the-Middle.

Alfredo Andrés
David Barroso
S21sec e-crime

4 comentarios:

Pedro J. dijo...

Hola,

Primero de todo enhorabuena por la serie de articulos :-)

Según estuve leyendo en un documento en Cisco.com, sus dispositivos no son vulnerables a Vlan Hopping ¿Hasta qué punto es cierto?

Saludos

S21SEC dijo...

Gracias Pedro :)

Realmente sí que se puede hacer VLAN Hopping, y en los dos próximos artículos de la serie comentaremos cómo se hace (por supuesto todo depende de la configuración de los switches).

Stay tuned :)

Gusarapo dijo...

Estupenda serie de artículos.

Como el de la Blackhat del 2005 y de la revista Hakin9 6/2005 ;-)

S21sec e-crime dijo...

Gusarapo, tienes toda la razón :), pero de alguna manera hay que publicar la poca información que hay de ataques a layer 2 ;)


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login