Există un număr de tipuri diferite de atacuri VLAN în rețelele moderne de switch-uri. Arhitectura VLAN simplifică întreţinerea reţelei şi îmbunăţeşte performanţa, dar totodată deschide uşa abuzului. Este important să înţelegeţi metodologia generală din spatele acestor atacuri şi metoda principală de atenuare a lor.
Săritul prin VLAN-uri permite traficului dintr-un VLAN să fie văzut de un alt VLAN. Mascarea Switch este un tip de atac de sărit VLAN care funcţionează prin profitarea de un port trunk configurat incorect. În mod implicit, porturile trunk au acces la toate VLAN-urile prin aceeași legătură fizică, de regulă între switch-uri.
Apăsați butonul Play din figură pentru a vedea o animație a unui atac de impersonare switch.
Într-un atac de bază de impersonare switch, atacatorul profită de faptul că dynamic auto este configurația implicită a unui port al switch-ului. Atacatorul rețelei configurează un sistem pentru a se deghiza într-un switch. Impersonarea necesită ca atacatorul rețelei să fie capabil să emuleze 802.1Q și mesaje DTP. Prin păcălirea unui switch în a crede că un alt switch încearcă să formeze o legătură trunk, un atacator poate obține acces la toate VLAN-urile permise pe portul trunk.
Cea mai bună modalitate pentru a preveni un atac de impersonare switch de bază este de e a opri trunking pe toate porturile, mai puțin pe cele care necesită trunking. Pe porturile care necesită trunking, dezactivați DTP și activați trunking manual.