「VLANホッピング」
VLANホッピングの定義
VLANホッピングは、仮想ローカルエリアネットワーク(VLAN)の意図された制限を回避するために、攻撃者がコンピュータネットワークで利用するセキュリティの脆弱性を突く手法です。これは、ハッカーがVLANの設定を操作し、スイッチの脆弱性を利用してネットワークリソースに不正アクセスを得るための技術です。
VLANホッピングの仕組み
VLANホッピング攻撃は、ネットワークスイッチのさまざまな脆弱性とVLANの設定方法を悪用します。VLANホッピングで使用される一般的な手法を以下に示します。
ダブルタグ: この手法では、攻撃者が2つの802.1Qタグを持つフレームを送信します。最初のタグは攻撃者自身のVLANタグ、2番目のタグはターゲットVLANのタグです。これにより、スイッチを騙してフレームを意図しないVLANに転送させます。
スイッチスプーフィング: スイッチスプーフィングは、VLANホッピング攻撃で使用される別の手法です。攻撃者はスイッチ広告をスプーフィングして管理VLANにアクセスします。これにより、攻撃者はネットワークトラフィックを傍受し修正することができ、潜在的に機密情報への不正アクセスを得ることができます。
Dynamic Trunking Protocol (DTP)の悪用: DTPは、スイッチ間のトランクリンクを交渉するためのCiscoのプロプライエタリプロトコルです。DTPを悪用することで、攻撃者はスイッチを説得してトランキングモードに変更させることができます。これにより、攻撃者は複数のVLANにアクセスでき、意図されたVLAN制限を回避します。
防止のためのヒント
VLANホッピング攻撃を防ぎ、ネットワークのセキュリティを強化するために、以下の対策を検討してください。
未使用ポートの無効化: 未使用のスイッチポートを無効化し、攻撃者がこれらのポートを通じて物理的にネットワークにアクセスすることを防ぎます。未使用のポートを無効化することで、攻撃面を減らし、潜在的な侵入ポイントを制限します。
Dynamic Trunking Protocol (DTP)の無効化: スイッチポートを手動でアクセスポートとして設定し、トランクポートではなくし、DTPを無効化します。これにより、VLANホッピング攻撃でよく使用されるDTPの悪用のリスクを排除します。
VLANアクセス制御リスト(VACL)の実装: VACLは、VLAN間の通信フローを制御することで、追加のセキュリティ層を提供します。より厳格なアクセス制御ルールを適用することで、VLAN間の不正な通信を防ぎ、VLANホッピングのリスクを減少させます。
ポートセキュリティの有効化: ポートセキュリティは、特定のスイッチポートに許可されるMACアドレスの数を制限します。ポートセキュリティを設定することで、不正なデバイスがネットワークに接続するのを防ぎ、VLANホッピング攻撃の影響を限定します。
スイッチファームウェアの定期的な更新: ネットワークスイッチを最新のファームウェアとセキュリティパッチで最新の状態に保ちます。これにより、VLANホッピングに悪用される可能性のある既知の脆弱性が修正され、緩和されます。
防止技術は特定のネットワークインフラストラクチャやスイッチベンダーに応じて異なる場合がありますので、注意が必要です。
関連用語
ネットワークセグメンテーション: ネットワークセグメンテーションは、セキュリティの目的でコンピュータネットワークを小さく分割し、孤立したネットワークにする実践です。これにより、攻撃面を減らし、セキュリティ侵害の影響を限定します。
802.1Qタグ: 802.1Qタグは、EthernetネットワークでのVLANタグ付けのためのIEEE標準です。ネットワーク管理者は、EthernetフレームにVLANメンバーシップを割り当て、一つの物理ネットワーク内で孤立したVLANを作成することができます。