Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

VLAN Hopping: La Tecnica che Può Abbattere le Barriere della Tua Rete!

Alessandro Molinari : 15 Dicembre 2024 10:11

Il VLAN hopping è una tecnica di attacco che permette a un malintenzionato di inviare pacchetti di dati da una VLAN (Virtual LAN) a un’altra, superando le limitazioni di sicurezza che di norma isolano il traffico tra VLAN diverse.

Questo tipo di attacco sfrutta configurazioni di rete mal gestite e, in una rete vulnerabile, consente a un intruso di accedere a risorse a cui non dovrebbe avere diritto. In questo articolo analizzeremo i dettagli tecnici di questa tecnica, come viene implementata con uno script Python, il contesto di rete in cui può verificarsi e come prevenire tali attacchi.

VLAN Hopping in Pratica: Manipolazione dei Tag VLAN con Python

Per effettuare un attacco di VLAN hopping, si può utilizzare un approccio basato su script Python che sfrutta la libreria Scapy. Scapy è una libreria potente ideale per creare e manipolare pacchetti di rete personalizzati. In questo scenario, lo script genera frame Ethernet con tag VLAN specifici e manipolati per forzare il traffico a “saltare” da una VLAN all’altra.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    In genere, una VLAN serve per isolare il traffico di rete. Per esempio, dispositivi collegati alla VLAN 1 non dovrebbero comunicare con dispositivi della VLAN 2 senza passare da un router o un firewall configurato appositamente. Tuttavia, con la manipolazione dei tag VLAN all’interno dei pacchetti Ethernet, lo script riesce a far apparire i pacchetti come se appartenessero a un’altra VLAN.

    Nella pratica, questo metodo inserisce nei pacchetti più tag VLAN (detti anche Double Tagging o persino Triple Tagging) per eludere le misure di sicurezza normalmente implementate sugli switch di rete.

    Comprensione della Configurazione della Rete: Il Contesto dell’Attacco

    Un attacco di VLAN hopping è possibile solo in un contesto di rete specifico e vulnerabile. Nel caso di una rete basata su switch configurati in modo errato, come una rete che utilizza porte trunk e VLAN native non protette, un attaccante può manipolare i pacchetti per forzare il salto del traffico a un’altra VLAN.

    In una configurazione tipica:

    • Gli switch utilizzano porte trunk per instradare traffico fra VLAN diverse.
    • Viene definita una VLAN nativa per le porte trunk, che è la VLAN che invia e riceve traffico non taggato.

    Se la VLAN nativa è configurata male (spesso lasciata al valore di default), può essere sfruttata per comunicare con VLAN che dovrebbero essere isolate. Questo problema può essere analizzato e verificato utilizzando strumenti di analisi della rete come Wireshark, che cattura i pacchetti trasmessi e consente di osservare i tag VLAN manipolati.

    In questo contesto, l’attacco comporta:

    1. Cattura del traffico di rete: Analizzando inizialmente i pacchetti trasmessi fra le VLAN.
    2. Manipolazione dei Tag: Creazione di pacchetti con un tag che corrisponde alla VLAN victim (vittima). Per esempio:
    • Il pacchetto esterno ha un tag con il valore della VLAN attaccante.
    • Il pacchetto interno ha un altro tag con il valore della VLAN target.

    Se lo switch non è configurato correttamente, accetterà il pacchetto interno e lo inoltrerà nella VLAN target.

    Test dell’Attacco: Superare i Limiti di Configurazione della VLAN

    Un test pratico di VLAN hopping dimostra che la tecnica può sfruttare configurazioni non sicure degli switch. Quando si inviano pacchetti con un singolo o doppio tag VLAN, uno switch correttamente configurato normalmente bloccherà o rimuoverà tali tag in quanto non corrispondono alle regole prestabilite.

    Tuttavia, nei test, aggiungendo un terzo tag VLAN (una variazione avanzata del “Double Tagging”), è possibile elaborare pacchetti che attraversano le VLAN. Questo approccio dimostra come un attaccante può:

    • Iniettare pacchetti ICMP (o altri tipi di traffico) dalla VLAN di origine a quella vittima.
    • Riaprire il flusso di comunicazione tra VLAN che dovrebbero essere isolate.

    Simulando scenari più complessi, come attacchi mirati a device specifici (PC, server o dispositivi IoT), si può osservare come VLAN hopping possa compromettere la sicurezza dell’intera rete.

    Prevenire VLAN Hopping: Strategia e Mitigazione

    La buona notizia è che il VLAN hopping può essere mitigato attraverso una corretta configurazione degli switch di rete. Le seguenti strategie rappresentano le migliori pratiche per evitare che accada:

    Cambiare la VLAN Nativa sulle Porte Trunk

    Una VLAN nativa è quella assegnata ai frame non taggati. L’errata configurazione delle VLAN native è uno dei principali punti deboli sfruttati durante un attacco. È importante:

    • Assegnare una VLAN nativa diversa da quella utilizzata dalle porte di accesso (access port).
    • Utilizzare una VLAN dedicata e non utilizzata per altre comunicazioni ordinarie.

    Disabilitare il Traffico Non Taggato sulle Porte Trunk

    Gli switch permettono di gestire il traffico Ethernet non taggato, ma questo comportamento può essere proibito per limitare i vettori di attacco. Configurare le porte trunk in modo che accettino solo traffico con tag VLAN appropriati è un passaggio essenziale.

    Utilizzare ACL (Liste di Controllo Accessi)

    Le ACL possono essere implementate sugli switch per filtrare il traffico e assicurarsi che solo i pacchetti con determinati tag VLAN siano accettati. Questo filtro è particolarmente utile per bloccare pacchetti malevoli creati con più tag VLAN.

    Configurare BPDU Guard e Protezioni di Sicurezza

    Funzionalità come BPDU Guard possono evitare che dispositivi non autorizzati si comportino come switch all’interno della rete. Inoltre, altre tecnologie di sicurezza, come DHCP snooping e Port Security, possono rafforzare la difesa dagli attacchi.

    Conclusione

    Il VLAN hopping rappresenta una minaccia seria per la sicurezza di rete, in particolare in infrastrutture con configurazioni non ottimali. Grazie a tecniche come il Double Tagging e Triple Tagging, un attaccante può manipolare pacchetti di rete per superare barriere di isolamento critiche.

    Tuttavia, attraverso una configurazione corretta della rete, in particolare con la modifica delle VLAN native sulle porte trunk, il blocco del traffico non taggato e l’uso di ACL, è possibile mitigare completamente il rischio di questi attacchi, preservando la sicurezza, l’integrità e la riservatezza della rete aziendale.

    Th3R3dP1ll
    Direttore di Crociera per 6 mesi all'anno, parla Italiano, Inglese, Tedesco, Francese, Spagnolo, Portoghese, Russo e sta attualmente studiando Giapponese (quest'ultima senza grandi risultati... :) ). Detiene Comptia A+ , Network+ , Security+ Pentest+ ed eJPT e sta studiando per eCCPT e PNPT. Nel tempo libero fa sport e legge/ascolta libri dai 60 ai 120 minuti al giorno. Sostiene che con grandi poteri arrivino grandi responsabilitá, come quelle di educare chi ha difficoltà a navigare il mondo digitale ed eventualmente difenderlo/a dai “pirati” e dalle entità che danneggiano il pianeta e la libertà delle persone. Sostiene inoltre che il futuro naturale della vita biologica sia la fusione ed integrazione con il digitale, transizione che tra l'altro è già iniziata con il movimento del transumanesimo del quale é sostenitore.

    Articoli in evidenza

    Grave Zero-day rilevato in Chrome! Gli Hacker di stato stanno sfruttando questa falla critica

    Recentemente Google ha rilasciato un urgente bug fix relativo ad una nuova vulnerabilità monitorata con il CVE-2025-2783. Si tratta di una grave falla di sicurezza su Chrome Browser che è st...

    VMware Tools nel mirino: falla critica espone le macchine virtuali Windows!

    VMware Tools for Windows stanno affrontando una vulnerabilità critica di bypass dell’autenticazione. La falla, identificata come CVE-2025-22230, consente ad attori malintenzionati con priv...

    Truffa ai danni dell’INPS! Il Tuo Documento è in Vendita nel Dark Web? Siate sempre vigili e attenti!

    Il CERT-AgID ha più volte segnalato attività di smishing a tema INPS che continuano a colpire il territorio italiano. L’obiettivo, come già evidenziato, è il furto di c...

    Un Threat Actors Rivendica un Attacco informatico all’italiana Eprice. Possibile vendita di dati del 2008

    Nella giornata di ieri, nel noto forum del dark web BreachForum, l’utente dallo pseudonimo Alcxtraze sostiene di aver trafugato un database del noto sito italiano di e-commerce eprice.it. La qu...

    Reti WiFi Aperte: Un Terreno Fertile per il Cybercrime 

    Oggigiorno il proliferare di dispositivi portatili, indossabili o comunque Smart hanno reso indispensabile lo scambio di dati, l’accesso alle risorse e la navigazione in rete.  Questo appr...