シスコスイッチは、VLANホッピングに対して脆弱ですか？

TLDR;防止：

• ポートがトランクを要求するデバイスとトランクをネゴシエートできないようにします。

• ホストをネイティブVLANに配置しないでください

私は過去にVLANホッピングのデモンストレーションを行ったことがありますが、これは通常、デバイスと一連のスイッチの構成に関係しています。

たとえば、CiscoのCatalystファミリスイッチでは、DTPはデフォルトで「望ましい」に設定されています。つまり、DTPはトランクを実行してもかまわないため、トランクに接続するポートを指定するだけで、トランクリンクが作成されます。カプセル化プロトコルをネゴシエートします（通常は802.1Q）。これは、エルシニアと呼ばれるツールを使用して示しました。

シスコデバイスの一部のファミリは、DTPをまったく使用せず、トランクリンクのネゴシエーションに別のプロセスやプロトコルを使用します。

この攻撃が発生するために必要なもう1つの変数は、ネイティブVLANの使用です。

このような攻撃を防ぐ簡単な方法は、ホストをNative VLAN=に配置しないか、DTPモードを非ネゴシエートに設定することです。

全体的に、IEシリーズはDTPを使用するかどうかを確認する必要があります。使用しない場合は同様のものを使用する場合は、ポートがそれを要求するデバイスで自動トランクしないことを確認してください。これにより、ネイティブデバイスを利用する必要のある二重のカプセル化されたパケットを不正なデバイスがトランキングして送信するのを本質的に防ぐことができます。

お使いのデバイスが脆弱であるかどうかを判断することは、構成を見なくても難しいことではありませんが、上記の方法は攻撃の成功を防ぐのに役立ちます。