Posté le: Mar Avr 15, 2008 10:47 am Sujet du message: Empêcher le vlan hoping
Bonjour,
Je souhaite empêcher le vlan hoping/jumping (saut de vlan), sur un réseau local.
La non utilisation du VLAN natif est quand même très impactant pour une architecture déjà en place. Je crois avoir compris le principe du VLAN hoping et je souhaiterais savoir si les deux mesures suivantes peuvent me permettre de réduire toute tentative de vlan hoping à néant tout en conservant l'utilisation du vlan natif :
- désactiver DTP sur tout les switchs
- tagguer le vlan par défaut (vlan dot1q tag native)
Est-ce deux mesures nécessaires et suffisantes pour empêcher le vlan hopping ?
L'attaquant vas formuler une frame double encapsulée style: 100,1.
Le switch S1 vas enlevé le tag du vlan natif, on aura donc une frame taggé dans le vlan 100. Si il n'y a qu'uniquement les vlans 10 et 11 utilisant ce trunk, alors en n'authorisant uniquement que ceux ci au niveau du port du switch S2, la frame taggé avec le vlan 100 sera rejetée.
En gros les administrateurs ne sont pas reliés sur le switch S1, et s'il n'y a pas de raisons qu'ils accèdent au utilisateurs du switch S1, ne pas autorisé le traffic sur ce vlan par ce lien trunk. Par contre si il y a des admins sur le switch S1 évidement ça ne marcheras pa. J'espère avoir été un peu plus clair, mais cette méthode ne fonctionne pas dans toutes les architectures. Simplement bloquer les vlans sur les liens trunks qui n'ont rien à y faire :p _________________ MIGETTE Bastien - SCT Cisco
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
Empêcher le vlan hoping
