Mois : octobre 2022

Le VLAN Hopping

Posted on by Ifotec Ifotec

A l’occasion de ce #CyberMois, une présentation sur les attaques réseau de type VLAN Hopping.

Qu’est-ce que le VLAN Hopping ?

Le VLAN Hopping est un type d’attaque consistant à forger des paquets Ethernet ayant des étiquettes VLAN spécifiques permettant de pouvoir envoyer du trafic dans un VLAN non autorisé. Ce type d’attaque n’est pas bidirectionnelle : il n’est pas possible pour l’attaquant d’écouter un trafic issu d’un VLAN non autorisé.

Exemple d’un réseau configuré en mode QinQ (VLAN Stacking).

Dans cet exemple, les deux commutateurs sont configurés en mode QinQ. Les ports connectés aux PC sont configurés en mode VLAN ACCESS et les ports d’interconnexion entre commutateurs sont configurés en mode VLAN TRUNK avec comme VLAN natif, le VLAN 10 configuré en mode tagué VLAN. Les commutateurs sont configurés pour autoriser les VLAN 10 et 20. Pour les personnes ne sachant pas ce qu’est le mode QinQ, je vous conseille d’aller lire mon précédent article qui est ici.

Native VLAN QinQ tagged (VLAN Hopping)

L’attaquant envoie un paquet avec une étiquette VLAN 20. Le premier commutateur accepte le paquet et l’affecte dans le VLAN 10 : le paquet ressort sur le port TRUNK avec une double étiquette VLAN (outer-tag = VLAN 10 et inner-tag VLAN 20). Le second commutateur reçoit le paquet, il le transmet vers le port ACCESS qui fait partie du VLAN 10 car il a identifié que le outer-tag est le VLAN 10. Lorsque le port sort sur le port ACCESS, le outer-tag VLAN 10 est supprimé. Dans cette situation il n’y a pas de soucis, le paquet transite bien sur les bons ports.

Par contre, si on configure les ports TRUNK avec le VLAN natif en mode non-tagué VLAN, voilà ce qu’il se passe :

Native VLAN QinQ untagged (VLAN Hopping)

L’attaquant envoie un paquet avec une étiquette VLAN 20. Le premier commutateur accepte le paquet et l’affecte dans le VLAN 10 : vu que le VLAN natif est configuré en mode non-tagué, le paquet ressort sur le port TRUNK sans le outer-tag VLAN 10. Le second commutateur reçoit le paquet, il le transmet vers le port ACCESS qui fait partie du VLAN 20 car il a identifié que le outer-tag est le VLAN 20. Lorsque le port sort sur le port ACCESS, le outer-tag VLAN 20 est supprimé. Dans cette situation, l’attaquant a réussi à envoyer le paquet dans le VLAN 20 alors qu’il n’a accès normalement qu’au VLAN 10.

Pour information, les commutateurs IFOTEC de gamme INET, lorsqu’ils sont configurés en mode QinQ ne permettent pas de configurer le VLAN natif en mode non-tagués, ce qui évite ce type d’attaque.

Exemple d’un réseau qui n’est pas configuré en mode QinQ

Dans cet exemple, les deux commutateurs ne sont pas configurés en mode QinQ. Les ports connectés aux PC sont configurés en mode VLAN ACCESS sauf l’attaquant qui est connecté sur un port en mode VLAN TRUNK où seul le VLAN 10 est autorisé. Les ports d’interconnexion entre commutateurs sont configurés en mode VLAN TRUNK avec comme VLAN natif, le VLAN 10 configuré en mode tagué VLAN. Les commutateurs sont configurés pour autoriser les VLAN 10 et 20.

Native VLAN Native tagged (VLAN Hopping)

L’attaquant envoie un paquet avec une double étiquette VLAN (outer-tag = VLAN 10 et inner-tag = VLAN 20). Le premier commutateur accepte le paquet car le outer-tag est le VLAN 10 : le paquet ressort sur le port TRUNK non modifié. Le second commutateur reçoit le paquet, il le transmet vers le port ACCESS qui fait partie du VLAN 10 car il a identifié que le outer-tag est le VLAN 10. Lorsque le port sort sur le port ACCESS, le outer-tag VLAN 10 est supprimé. Dans cette situation il n’y a pas de soucis, le paquet transite bien sur les bons ports.

Par contre, si on configure les ports TRUNK avec le VLAN natif en mode non-tagué VLAN, voilà ce qu’il se passe :

Native VLAN Native untagged (VLAN Hopping)

L’attaquant envoie un paquet avec une double étiquette VLAN (outer-tag = VLAN 10 et inner-tag = VLAN 20). Le premier commutateur accepte le paquet car le outer-tag est le VLAN 10 : le paquet ressort sur le port TRUNK avec le outer-tag VLAN 10 supprimé. Le second commutateur reçoit le paquet, il le transmet vers le port ACCESS qui fait partie du VLAN 20 car il a identifié que le outer-tag est le VLAN 20. Lorsque le port sort sur le port ACCESS, le outer-tag VLAN 20 est supprimé. Dans cette situation, on voit que l’attaquant a réussi à envoyer le paquet dans le VLAN 20 qui n’est pas autorisé.

A noter que sur un port configuré en mode ACCESS sur un équipement IFOTEC, les paquets entrants sont bloqués s’ils ont une étiquette VLAN mais ce n’est pas forcément le cas sur des équipements d’autres fabricants.

Conclusion.

Pour éviter les VLAN Hopping, il faut autant que possible configurer les ports TRUNK avec le VLAN natif en mode tagué et configurer les ports où un attaquant peut venir se connecter en mode ACCESS. Une erreur de configuration peut être difficile à identifier car le réseau peut être fonctionnel et pourtant ne pas être protégé contre ce type d’attaques.

Un article de Cédric Marmonier, ingénieur R&D chez IFOTEC.

Retrouvez plus d’actualités sur le LinkedIn d’IFOTEC.

A lire également les articles suivants :

Mieux connaître les cyberattaques sur systèmes embarqués

Cybersécurité, comment améliorer sa politique de sécurité numérique ?

Bonnes pratiques de la gestion des secrets

Pourquoi utiliser les VLAN pour sécuriser les réseaux ?

Zoom sur le HTTPS

Cyberattaques

Posted on by Ifotec Ifotec

Mieux connaître les cyberattaques sur systèmes embarqués

Mieux connaître les cyberattaques sur systèmes embarqués

Lutter contre les cyberattaques

Que ce soit pour récupérer des informations, altérer le fonctionnement d’un système embarqué, ou tout simplement le neutraliser, il existe de nombreuses méthodes de cyberattaques.

Elles peuvent être regroupées en deux catégories, les méthodes d’attaques dites passives ou d’observation et les méthodes d’attaques dites actives qui nécessitent une interaction avec l’équipement.

Qu’est-ce qu’une attaque passive ?

Les méthodes de cyberattaque passive sur un système embarqué consistent à analyser le comportement d’un équipement. Elles visent à récupérer des informations sensibles, telles que des clés de chiffrement, certificats, mots de passe, …

Nous y retrouvons les attaques par canal auxiliaire (side channel attack) qui visent à exploiter des failles dans l’implémentation d’un système. Il est possible de recueillir des informations par exemple en analysant l’évolution de la consommation en courant d’un système ou son rayonnement électromagnétique. Une consommation plus accrue indique des calculs plus importants. Des mesures temporelles (timing attack) permettent de connaitre le temps d’exécution de certaines opérations, ce qui peut être particulièrement efficace si l’algorithme utilise une boucle pour comparer des clés.

Cybermois - Article IFOTEC

Des sondes (probing) peuvent être placées pour analyser les bus de communication entre les composants, sur les interfaces de réglage ou de maintenance ou même les points de tests de la carte.

Qu’est-ce qu’une attaque active ?

Une cyberattaque active sur des systèmes embarqués peut être de plusieurs natures. S’il s’agit d’un équipement ayant une interface IP, il peut s’agir d’une attaque par déni de service (DoS attack) qui a pour but de rendre le système indisponible. Cela peut se faire par exemple en saturant le réseau ou en perturbant les connexions entre équipements.

Si l’attaquant a accès à la carte électronique, il peut extraire les données contenues dans les mémoires externes ou même altérer son contenu. Il est également possible d’injecter des fautes ou glitch sur les bus de communication pour altérer le fonctionnement du système.

cYBERMOIS ARTICLE ifotec

Qu’en est-il de la sécurité des équipements IP chez IFOTEC ?

En ce qui concerne les Switches Ethernet sécurisés d’IFOTEC,  la sécurité de ces équipements de transmission sur fibre optique est prise en compte dès la conception.

Cela passe par le choix :

  • De composants permettant des fonctionnalités de cryptographie avancées,
  • Un développement logiciel n’utilisant que des algorithmes de chiffrement fiables et
  • Aucune donnée sensible accessible.

De plus, l’intégrité de l’application est vérifiée à chaque démarrage et les mises à jour ne peuvent être faites qu’avec des firmwares authentifiés par nos soins.

Un article de Pascal Brand, ingénieur R&D chez IFOTEC.
Retrouvez-nous sur notre page LinkedIn.

A lire également les articles suivants :

Cybersécurité, comment améliorer sa politique de sécurité numérique ?

Bonnes pratiques de la gestion des secrets

Pourquoi utiliser les VLAN pour sécuriser les réseaux ?

Zoom sur le HTTPS