Rapport projet SIR 28/06/2003

Protocole 802.1Q
&
Attaques sur les VLAN

Equipe Projet:

Sylvain ECHE (sylvain.eche@naema.org)

Constantin YAMKOUDOUGOU

1
 Sommaire
INTRODUCTION...................................................................................................................... 3
1 Vlan selon la no rme 802.1q .............................................................................................. 5
1.1 Modle architectural................................................................................................................................................ 5
1.2 Architecture de la base de donnes de filtrage. .................................................................................................. 5
1.3 Typologies des vlan au sens 802.1q. .................................................................................................................... 6
1.4 Transmission dans un vlan..................................................................................................................................... 6
1.5 Principe de fonctionnement dun switch 802.1Q ............................................................................................... 6
1.5.1 Relais et filtrage de trame .............................................................................................................................. 7
1.5.2 Rgles de filtrage ingress............................................................................................................................... 7
1.5.3 Rgles de filtrage egress................................................................................................................................ 7
1.5.4 Le process de forwarding .............................................................................................................................. 7
1.6 Structure des trames Ethernet tiquettes ........................................................................................................... 8
1.6.1 Le champ Tag Protocol Identifier (TPID).................................................................................................. 8
1.6.2 Le champ Tag Control Information (TCI).................................................................................................. 8
1.6.3 Le champ Ethertype........................................................................................................................................ 9
1.6.4 Champ Embedded Source-Routing Information Field (E-RIF).............................................................. 9
2 Implmentation chez des quipementiers et systmes dexploitation libres.................... 9
3 Mcanismes dauthentification dans les VLAN ............................................................. 10
4 La notion de Spanning Tree Protocol............................................................................. 11
5 La notion de trunk, VLAN natif et Dynamic Trunk Protocol........................................ 12
6 La notion de private VLAN (technologie CISCO)......................................................... 12
7 La notion de CDP (Cisco Discovery Protocol) .............................................................. 12
8 Attaques sur les VLAN ................................................................................................. 13
8.1 Attaque par MAC Flooding ................................................................................................................................. 13
8.2 Attaques par 802.1Q (standard), ISL (CISCO) tagging................................................................................. 15
8.3 Attaque par double encapsulation de 802.1 Q ou nested VLAN................................................................... 15
8.4 Attaques ARP classiques ...................................................................................................................................... 16
8.5 Attaques sur les privates LAN............................................................................................................................. 17
8.6 Attaques par force brute multicast...................................................................................................................... 17
8.7 Attaques sur le spanning tree............................................................................................................................... 18
8.8 Random frame Stress Attack ............................................................................................................................... 19
9 Conclusion...................................................................................................................... 20
10 Rfrences ...................................................................................................................... 21

2
INTRODUCTION
Un VLAN1 (Virtual Local Area Network) est un sous rseau de niveau 22
construit partir dune technologie permettant de cloisonner des rseaux
par usage de filtres de scurit. Cette technologie balise le domaine de
broadcast auquel ces machines appartiennent de telle sorte que le trafic
intra-domaine ne puisse pas tre vu par des tiers nappartenant pas ce
domaine de broadcast.

802.1Q est la norme de rfrence garantissant aujourdhui une

interoprabilit dquipements provenant de divers constructeurs. Elle
spcifie larchitecture des commutateurs, des bases de donnes de
filtrage, la structure des trames, les traitements des paquets, la gestion
des commutateurs et des topologies. Cest une des rares normes qui
spcifie la fois le comportement du matriel, les oprations (filtrage
dentre, de sortie, forwarding) qui ont lieu dans un vlan, dfinit le codage
et le contrle des informations transportes par les trames, spcifie les
rgles qui rgissent linsertion et la suppression des informations de
contrle dans celles-ci.

Historiquement, il existe deux normes principales pour les vlan. La

premire est celle manant des rseaux fdrateurs ATM permettant une
interconnexion des rseaux virtuels ayant pour support les rseaux locaux
classiques. Il sagit des rseaux locaux muls LANE (LAN Emulation).
Nous naborderons pas cette norme considre comme aujourdhui
dsute par rapport la norme 802.1Q. Ce document a une triple
mission : donner un aperu de ltat de lart en matire de vlan travers
la norme 802.1Q, dcrire limplmentation de cette technologie dans des
quipements de constructeurs, dcrire galement son implmentation sur
des systmes dexploitation et enfin dcrire des attaques connues ce
jour sur ces vlans.

Pour rpondre aux objectifs prcdemment noncs, cette tude a t

organise en trois principaux chapitres. Un premier chapitre dans lequel il
est question de la norme 802.1Q. Il sagit dune explication succincte de la
norme travers le concept de spanning tree, la notion de marquage de
trame permettant dintroduire des balises supplmentaires de
diffrentiation de trames et dune description complte de la typologie de
ces trames vlan.

Le deuxime chapitre est consacr limplmentation des vlans par

quelques quipementiers du march tels que CISCO et 3COM et aussi de
limplmentation sur des systmes libres tels que GNU-Linux, FreeBSD.

1
Par la suite nous noterons simplement vlan
22
Le concept de vlan de niveau trois existe, mais nous ne tenons pas compte de cette approche considre
comme dsute et moins rpandue.

3
La dernire partie de ce document est consacre aux vulnrabilits des
rseaux vlan. Il sagit dattaques dont les principales sont celles par MAC
flooding, 802.1Q, spanning tree et multicast.

Ce document a t rdig dans le cadre dun projet en partenariat avec Mr

Melaine BROUDIC de France Tlcom R&D. Il est perfectible et tout
commentaire du lecteur pour son amlioration sera le bienvenu.

4
1 Vlan selon la norme 802.1q

Jusqu prsent, plusieurs standards propritaires permettaient la mise en

place de cloisonnement logique de rseaux. Cest le cas par exemple du
protocole ISL de cisco. Les spcifications du groupe 802.1q de lIEEE ont
pour but dassurer linteroprabilit dquipements dorigines htrognes
offrant des services de type rseaux locaux virtuels

1.1 Modle architectural

Figure 1 modle architecturale vlan source 802.1Q

La norme prsente un modle trois couches pour les vlans.

La couche configuration qui permet dindiquer comment sont
associs les quipements aux diffrents rseaux vlan. Cette
configuration pouvant soprer partir de MIBs 3 par le protocole
SNMP ou des fichiers de configuration.
La couche distribution/rsolution qui permet aux switchs la
rsolution de chaque paquet par rapport son vlan associ.
La couche correspondance (relay) qui permet :
o de dterminer lunique vlan auquel les trames reues
appartiennent.
o de dterminer sur quels port s du switch les trames doivent
tre transfres.
o de modifier si ncessaire le format de la trame avant son
envoi (ajout ou suppression dtiquette, ).

1.2 Architecture de la base de donnes de filtrage.

Trois aspects sont prendre en considration pour larchitecture de la

base des donnes de filtrage.
Pour certaines topologies de vlan il est ncessaire que tous les vlans aient
connaissance de lensemble des adresses MAC reparties entre tous les
vlans. Pour dautres configurations cette connaissance doit tre exclusive
et les adresses Mac dun vlan donn ne doivent pas tre connues par un

3
Management Information Base

5
autre vlan. Enfin pour la troisime configuration cette connaissance
importe peu.
Une combinaison de ces topologies de bases de donnes de filtrage peut
tre ncessaire selon les contraintes dapprentissage de vlan exprimes
dans un switch. Ce standard spcifie plus particulirement une typologie
de switchs mme de supporter la fois des base de donnes de filtrage
IVL et SVL . Cela permet dassocier M base de donnes N vlan.

1.3 Typologies des vlan au sens 802.1q.

La norme dfinie trois catgories de vlans:
Les trames sans tiquette vlan (ou tag)
Les trames dites prioritaires
Les trames avec tiquette vlan (ou tag).
Les trames sans tiquette et les trames prioritaires ne comportent aucune
information permettant didentifier les vlans auxquels ils appartiennent.
Ces trames appartiennent des vlan spciaux relis des ports physiques
ou utilisant des extensions rserves des quipementiers (3COM,
CISCO..) dont la plupart ont particip la rdaction du standard. Ces
trames qui forment le vlan natif qui permet dassurer linteroprabilit
avec un switch qui ne supporterait pas le 802.1q.

Ltiquette des autres trames comporte lidentifiant du vlan, le VID, (Vlan

Identifier) auxquel ils appartiennent.

1.4 Transmission dans un vlan.

Deux scenarii de transmission peuvent tre dfinis dans un vlan. Une

transmission de trames tiquetes et un mode sans tiquettes. Le mode
avec tiquette suppose une capacit terminale dinterprtation des
tiquettes pour les machines formant les vlans et aussi une capacit de
forger des trames tiquetes destines au switch. Dans le cas de la
transmission de trame sans tiquettes, toute lintelligence de traitement
est supporte par le switch.

1.5 Principe de fonctionnement dun switch 802.1Q

Trois principales oprations sont dfinies pour le fonctionnement dun

switch vlan. Il sagit :

Du relais et du filtrage de trames

De la maintenance des informations de relais et de filtrage de
trames
De la gestion des deux types doprations

6
 1.5.1 Relais et filtrage de trame

Le principe de retransmission et de filtrage des trames est illustr selon le

schma ci aprs.

Figure 2 Architecture fonctionnelle de relais de trame 802.1Q

1.5.2 Rgles de filtrage ingress

Ces rgles sappliquent toutes les trames entrantes. La prise en compte

de ces rgles est spcifie pour chaque port. Exemples de rgles :
Rejet de trames non taggs lorsque les rgles de filtrage
tablies nacceptent que les trames taggs
Contrle de lappartenance un vlan dune trame reue par
comparaison aux donnes MAC stockes dans la base de donnes
de filtrage.

1.5.3 Rgles de filtrage egress

Idem que pour les rgles de filtrage ingress et sappliquent uniquement

aux paquets en sortie.

1.5.4 Le process de forwarding

Le fonctionnement du switch 802.1Q est assimilable celui dun firewall.

Les engress rules sont les rgles de la table dentre applicable tout
paquet entrant.

Les Port statement information fournissent linformation sur la

configuration de chaque port du switch.

7
La base de donnes de filtrage filtering database permet dinterprter
la smantique de tous les paquets du rseau pour pallier au spoofing par
exemple.

Le process de retransmission analyse lensemble de ces paquets selon les

donnes manant de la base de donnes de filtrage, des tats de port et
des rgles ingress et egress et leur rserve ensuite le traitement
appropri.

1.6 Structure des trames Ethernet tiquettes .

Les trames 802.1 Q diffrent des trames classiques car elles possdent :
- un entte supplmentaire insr immdiatement entre les
champs adresse source et destination.
- Un CRC en fin de trame, le FCS, aprs que le payload ait t
rattach a lentte.

Figure 3 : format des trames Ethernet tiquettes

1.6.1 Le champ Tag Protocol Identifier (TPID).

Dsigne le type de tag. Il permet par exemple au switch didentifier la

trame comme comportant un tag 802.1Q pour celle ayant un format
Ethernet II / 802.3. Dans ce cas, cette valeur est gale la constante
hexadcimale 0x8100 code sur deux octets.

1.6.2 Le champ Tag Control Information (TCI).

Ce champ a une longueur de 2 octets. Le premier champ de 3 bits,

user_priority, permet de dfinir huit niveaux de priorit (voir ISO/IEC
15802-3 pour lutilisation de ce champ). Lorsquil est positionn 1, le bit
CFI indique que les adresses MAC sont bien au format standard. Le champ
VID de 12 bits dsigne le VID (Vlan identifier) auquel appartient la trame.

8
 Figure 4 champ TCI dans un tag 802.1Q
1.6.3 Le champ Ethertype

Ce champ a dj t dcrit prcdemment comme dsignant le type de

protocole de niveau 3. Il a t insr dans le tag pour des questions
dergonomie.

1.6.4 Champ Embedded Source-Routing Information Field (E-RIF)

Ce champ spcifie notamment les informations de routage (champ RT),

ainsi que la longueur maximale des trames (champ LF).

2 Implmentation chez des quipementiers et systmes

dexploitation libres

Le standard 802.1q est relativement rcent et nest pas encore

implment nativement dans tous les systmes dexploitation, ceux-ci ne
pouvant donc interprter les trames du standard.

Linux
Les noyaux4 de version infrieure 2.4.14 doivent tre patchs et
recompils afin de pouvoir interprter les trames tagges. Lutilitaire
vconfig permet ensuite de configurer les interfaces voulues .
Ex : vconfig add eth0 1 permet de crer VLAN de VID 5 associ
linterface eth0.

FreeBSD
La situation est quasi identique celle de Linux, lexception du fait quil
faut prciser le nombre de vlan que lon souhaite ajouter une interface
dans le fichier de configuration du noyau avant de le compiler.

Windows
Les version Windows 2000 Server, Windows 2000 Server, Advanced
Server et Windows 2000 Datacenter Server supportent plutt le standard

4
http://www.kernel.org/

9
802.1p oriente vers la gestion des priorits. La question reste examiner
pour les releases XP et 2003.

Equipementiers

Etant lorigine de la norme, ils limplmentent quasiment tous. Les

quipementiers les plus importants du march sont Cisco et 3com. Nous
ne dcrirons pas les dtails dimplmentation qui varient selon les
gammes de produits de chaque constructeur et des systmes
dexploitation propritaires.

3 Mcanismes dauthentification dans les VLAN

Comme nous allons le voir plus tard, la scurit des VLAN repose sur les
mcanismes mis en uvre pour lauthentification des machines se
connectant aux port des switchs.
Ci-dessous sont dtailles les principales mthodes utilisables pour
lauthentification.

Fixer une adresse MAC un port physique : cette mthode,

certes efficace, pose le problme de ladministration qui devient trs
lourde grer notamment lors des dplacement de machines dans
le rseau. Ainsi chaque port physique fait partie dun seul VLAN
Port security (propritaire cisco) : Cette technologie permet
dimplmenter de faon plus souple les rgles ci-dessus en indiquant
des rgles sur les adresses mac permettant de se connecter : une
liste de macs autoriss, des conditions de connections (horaires, ).
802.1x (RFC 2284) Cette norme dauthentification est galement
employe dans la rcente norme de rseaux WIFI 802.11i. On
distingue 3 rles dans le schma dauthentification :
- lauthentificateur qui met en uvre lauthentification et
route le trafic vers le rseau si lauthentification a march.
- le demandeur qui demande laccs au rseau. Dans notre
cas, il sagit de la machine cliente.
- le serveur dauthentification qui effectue lauthentification
du demandeur en vrifiant les donnes quil a transmises. La
plupart du temps il sagit dun serveur radius.

10
Le concept de Controlled/Uncontrolled Port

LUncontrolled Port (UP) et le Controlled Port (CP) sont 2 abstractions

fonctionnelles qui sont physiquement sur la mme connexion rseau. Une
trame du client est route par lAP (Access Point qui est dans notre cas le
switch) vers lUP ou le CP en fonction de ltat de lauthentification.

Le rsultat de cette abstraction logique est que si le client nest pas

authentifi il aura seulement accs au serveur dauthentification. Une fois
lauthentification russie il pourra accder aux services du rseau.
Un point important est que cette authentification doit tre mutuelle ce qui
rend quasi impossible toute attaque de type man in the middle .

Dynamics Vlans (VQP et VMPS) propritaire cisco : VQP (Vlan Query

Protocol) est un protocole qui permet au switch client dinterroger
un serveur VMPS (VLAN Membership Policy Server) avec des
informations sur les stations enregistres et leur VLAN associ. Ainsi
le switch client pourra associer le port avec le bon VLAN. Le serveur
VMPS peut tre un switch (ex : cisco catalyst) ou un serveur
windows 2000 avec active directory server.

4 La notion de Spanning Tree Protocol

Le spanning tree protocol (STP) permet de manager les connexions
Ethernet commutes (exemple par des VLAN). Il fournit des chemins
redondants dans un rseau niveau 2 tout en vitant les boucles de
routages. Il existe plusieurs types de protocole STP et tous ces types
utilisent un algorithme qui calcule le meilleur chemin sans boucle travers
le rseau.

Dans les rseaux Ethernet, un seul chemin actif peut exister entre deux
stations. En effet, plusieurs chemins actifs entre des stations causent
invitablement des boucles dans le rseau.

Lalgorithme spanning tree fournit des chemins redondants en dfinissant

un arbre qui recense tous les commutateurs dans un rseau tendu et
force ensuite certains chemins de donnes tre ltat bloqu .
intervalles rguliers, les commutateurs dans le rseau mettent et
reoivent des paquets spanning tree qu'ils emploient pour identifier le
chemin. Si un segment de rseau devient inaccessible ou si les cots
spanning tree changent, l'algorithme spanning tree reconfigure la
topologie spanning tree et rtablit la liaison en activant le chemin de
rserve.

11
Les oprations spanning tree sont transparentes pour les stations
dextrmits, qui ne dtectent pas si elles sont connects un segment de
rseau local simple ou un rseau local commut segments multiples.

5 La notion de trunk, VLAN natif et Dynamic Trunk Protocol

La fonction dun trunk est de transporter des VLANs entre plusieurs

commutateurs interconnects et donc dtendre la porte des VLANs un
ensemble de commutateurs. Chaque VLAN est distingu de par ses tags
802.1q ou ICL (protocole CISCO).

Le Dynamic Trunk Protocol (DTP) autorise la configuration automatique de

certains ports en mode trunk. Le Switch acceptera donc les traffics taggs
et non taggs.

6 La notion de private VLAN (technologie CISCO)

Cette technique permet davoir dans un mme VLAN des stations qui ne
peuvent pas changer du trafic directement entre elles mais doivent
passer par un port matre . Cette technique est utilise, par exemple,
pour viter quune station compromise puisse attaquer directement une
autre station sur le mme VLAN et lobliger repasser par le port
matre ou lon peut mettre en place un firewall avec une politique de
scurit adquate.
Cette approche est galement trs rpandue chez les hbergeurs pour des
serveurs appartenant diffrents clients sur le mme VLAN. Il ny a ainsi
pas de communication directe entre les serveurs. Cette solution a
lavantage dtre plus souple que de dclarer un VLAN par client avec des
adresse IP, des masques, associ chaque VLAN.

7 La notion de CDP (Cisco Discovery Protocol)

Ce protocole a t dvelopp par CISCO pour faciliter la dcouverte
dquipements du rseau et dchanger des informations exhaustives sur
la configuration de ceux-ci :
- Nom et adresse IP de lquipement
- Version de CatOS/CatIOS/IOS installe
- Plate-forme matrielle et modules installs
- Fonctionnalits de lquipement
- VLAN natif de lquipement
-
Les messages CDP sont envoys en multicast.
En dehors de divulguer des informations sur les quipements, ce protocole
est trs sensible aux denials of services.
En effet les informations changes par CDP ne sont jamais mises jour
ou remplaces, ainsi il est facile denvoyer un grand nombre de messages
pour saturer la mmoire de lquipement.

12
Il est recommand de dsactiver CDP

8 Attaques sur les VLAN

Le point important pour la scurit dun VLAN est lidentification du
mdium de niveau 2 qui permet disoler les ports et de faire des
traitements en consquence. Comme on la vu, les paquets sont marqus
(norme 802.1Q) afin de pouvoir identifier leur provenance et de les traiter
en consquence.

Dans ce panorama les attaques sur los des switch VLAN ou la prise de
contrle de la console de management ne sont pas considres (par brute
force par exemple).

Voici la plupart des attaques publies sur internet jusqu' ce jour :

- attaque par MAC Flooding

- attaque par 802.1Q (standard) ISL (CISCO) tagging
- attaque par double encapsulation de 802.1 Q ou nested VLAN
- attaques ARP classiques
- attaques sur les privates VLAN
- attaques par force brute multicast
- attaques sur le spanning tree
- attaques de type random frame stress

8.1 Attaque par MAC Flooding

Description

Cette attaque est base sur le fait que la table des switch/ponts
permettant le routage des paquets est limite.

13
 Schma de lattaque :

Dans un premier temps, le pirate va flooder le switch avec des arp query/
arp response avec pour chaque demande une adresse MAC diffrente.
Ainsi pour chaque adresse MAC diffrente, le switch va lassocier dans sa
table au port concern. Le mcanisme est rpt jusqu' saturation de la
mmoire : ce moment le switch ne peut plus enregistrer dans sa table.
Lattaque est base sur le comportement du switch en tat de saturation :
- soit il fait un fail open : il se transforme en HUB et
broadcaste alors toutes les requtes sur le rseau (le pirate
peut alors sniffer toutes les communications).
- Soit il fait un fail close : il continue de fonctionner
normalement avec sa liste, bien quelle soit pleine et continue
de cloisonner efficacement les connexions.
Le comportement du switch satur est fonction du constructeur. Pour
note, les switchs cisco catalyst continue cloisonner efficacement les
VLAN mme lorsquils sont saturs.

Outils pour raliser lattaque

Utilitaires pour lattaque : macof (inclus dans dsniff)

Parades

La parade repose sur lauthentification du connect afin dviter quil

puisse mettre incognito des trames forges.Par exemple en activant
loption port security sur un switch cisco prennant en paramtre soit
une adresse mac ou un nombre maxi dadresse mac possible. Ainsi le
nombre dassociation MAC/PORT pour un mme port sera limit et les
trames incorrectes rejetes.

14
Ex de commandes pour un switch cisco:
CatOS> (enable) set port security mod_num/port_numenable [mac_addr]
CatOS> (enable) set port security mod_num/port_rangeenable maximum [max_mac_addr]
CatOS> (enable) set port security mod_num/port_num mac_addr
CatOS> (enable) show port [mod_num[/port_num]

8.2 Attaques par 802.1Q (standard), ISL (CISCO) tagging

Lide de cette attaque est de forger des trames permettant davoir accs
un autre Vlan en modifiant les tags de la norme 802.1Q.
Une telle attaque repose sur la capacit de forger un tag dans une trame
afin de tromper le switch et de sauter de VLAN.
Ex : le switch spoofing :
- Lattaquant envoie des trames forges avec des tags 802.1Q sur
un port quelconque. En principe le switch va rejeter ces trames
ou les dtagguer tant donn quelles ne devraient pas ltre
(seul le port du trunk est taggu). Nanmoins, pour les switch
cisco par exemple, si le DTP (dynamic trunk protocol) est activ,
le port quelconque va se mettre considrer le port comme un
trunk. A partir de la, lattaquant peut trs facilement atteindre
tous les VLAN en forgeant une en tte 802.1Q adapte.
Cette description nest pas clair. Il vaudrait mieux la reformuler.

Parade : dsactiver absolument le DTP ou tout protocole de dtection

automatique du port trunk .

8.3 Attaque par double encapsulation de 802.1 Q ou nested

VLAN
Expliquer ici ce quest le vlan natif.

Les trafics de VLAN sont isols de par les tags 802.1Q (ou ICL pour cisco)
rajouts aux trames Ethernet. La norme 802.1Q introduit des contraintes
dinteroprabilit avec les VLAN natifs qui nutilisent pas les tags
Ethernet. Ainsi un switch 802.1Q recevant ce type de trame non taggu
vont la traiter comme une trame du VLAN natif. Cela permet de dialoguer
en non taggu avec des anciens switchs non compatibles 802.1Q.
Voici un moyen dexploiter cette particularit :

15
Pour que cette attaque russisse, il est ncessaire que le trunk de
transport auquel est reli lattaquant et la victime soient dfinis sur le
mme VLAN natif.

Lattaque consiste injecter des paquets encapsuls dans 2 trames

802.1q. La trame injecte comporte 2 enttes 802.1q. La premire
indiquant le VLAN A et la seconde le VLAN B.
Le switch reoit cette trame venant dun VLAN natif avec une entte VLAN
A, Il nest pas normal de recevoir des trames tagges de la part du VLAN
A qui est natif : par consquent le switch enlve le premier tag. En
thorie, il devrait se retrouver avec une trame Ethernet sans en tte et
dans ce cas la forwarder sur le port physique correspondant au VLAN A.
Or lors du traitement de la trame il considre le tag interne VLAN B et la
place dirige la trame vers le VLAN B : le saut de VLAN a t ralis.

Outil implmentant cette attaque : aucun notre connaissance

Parade : Cette attaque nest ralisable qua cause dune mauvaise

configuration des switches. Il suffit par exemple dinterdire lutilisation de
VLAN natif pour les utilisateurs, les protocoles STP, CDP continueront
utiliser le VLAN natif. Si lon ne peut dsactiver le VLAN natif, il suffit de
dsactiver tous les ports avec DTP en mode automatique.

8.4 Attaques ARP classiques

Les attaques ARP classiques sont trs largement documentes sur

Internet, nous ne reviendrons pas sur leur fonctionnement. Un excellent
article concernant le sujet est paru dans MISC 3 et disponible avec des
sources limplmentant ladresse http://www.arp-sk.org/article/arp.html

Toutes les attaques dcrites dans cet article peuvent tre mise en uvre
lintrieur dun mme VLAN de la mme faon que sur un LAN on peut
ainsi raliser une attaque de type man in the middle.

Ce qui nous intresse ici est une attaque permettant de sauter de VLAN.
Lide est de forger des trames avec une adresse IP source et une adresse
MAC source falsifies et si possible correspondant une machine sur un
autre VLAN.
Selon la faon dont le Switch se comporte, il peut forwarder la trame vers
le VLAN souhait.
Cette attaque nest valable que pour les Switch qui utilisent des
identifications de VLAN bases sur des adresses MAC ou IP.

Outils implmentant ces attaques : outil permettant de forger des

trames MAC : arp-sk, dsniff, taranis.

16
Parades :
Concernant le premier type dattaque sur le mme VLAN : mettre les
adresses MAC en statique dans le cache ARP, utiliser des logiciels de
surveillance niveau 2 : arpWatch, pluggin niveau 2 de prelude, ARP
inspection dans les switchs CISCO.

Concernant le saut de VLAN : utiliser une authentification des ports

efficace : 802.1q ou 802.1x par exemple.

8.5 Attaques sur les Private LAN

Comme on la vu les Private LAN servent isoler physiquement les

quipements au niveau 2. Nanmoins, il est tout fait possible de
communiquer entre 2 quipements spars au niveau 2 en passant par le
niveau 3, condition que lquipement de niveau 3 soit mal configur.

Dans cet exemple lattaquant ne peut pas communiquer directement avec

la victime mais il lui est possible de latteindre en passant par le routeur
avec des trames de niveau 3.

Outils implmentant cette attaque : Il ne sagit pas dune attaque a

proprement dit mais dune fonctionnalit.

Parade : paramtrage du routeur ou du firewall efficace afin dempcher

les liens par le niveau 3.

8.6 Attaques par force brute multicast

Lide est de flooder le switch avec des trames multicast de niveau 2. En

principe le switch doit restreindre lmission de ces trames au VLAN
auquel lmetteur appartient.
Nanmoins, certains switchs peuvent mal se comporter devant la charge
et broadcaster sur tous les VLAN pour allger les traitements. Selon une
discussion dans la liste de diffusion bug track. Il semblerait que certains

17
switchs changent lalgorithme de broadcast et se comportent comme un
hub lorsque leur processeur atteint une charge de 70-80% dutilisation.

Outils implmentant cette attaque : aucun notre connaissance

Parade : utiliser des switchs non sensibles cette attaque comme les
cisco catalyst.

8.7 Attaques sur le spanning tree

Il y a 2 types dattaques :

a) attaque par denials of service :

Cette attaque consiste injecter des BPDU (bridge protocol data
unit) falsifis afin de forcer les quipements recalculer larbre
en permanence ce qui rend le rseau inoprant. Il est galement
possible que sous linondation, les switch se transforment en
HUB.

Outils implmentant cette attaque : storm

Parade : dsactiver STP sil nest pas ncessaire, activer le filtrage
des BPDU afin dempcher linjection.

b) Par dfaut, le protocole STP est activ sur tous les ports.
Lattaquant se comporte comme un switch et envoie un BPDU
demandant de devenir root (a). Larbre est recalcul avec comme
switch root lui mme. Ainsi il peut redfinir une topologie et
intercepter tous le traffic (b):
Pour que cette attaque russisse de faon transparente, il faut que
lattaquant soit connect 2 switchs. Quoi quil en soit, lattaquant
peut se faire passer pour un switch et donc intercepter le trafic.

18
 Outils implmentant cette attaque : ethercap (pluggin lamia)
Parade : sous CISCO activer BPDU guard et ROOT guard et
dsactiver le STP sur les ports ou ne sont pas connects des switchs.

8.8 Random frame Stress Attack

Cette attaque consiste trouver des failles dans limplmentation des

diffrents protocoles. Pour cela on fait une attaque exhaustive :
Au niveau de la trame Ethernet :
- On fixe ladresse mac source et ladresse mac destination
On essaie toutes les combinaisons possibles sur les autres
champs de la trame Ethernet : de la trame : type, bourrage,
crc, la taille du paquet,
On essaie aussi une multitude de combinaison au niveau arp
puisque ce protocole est galement pris en compte par le
switch pour la mise jour de ses tables.

- On observe pour voir si un paquet fait un saut de VLAN ou si

le paquet a provoqu une erreur dans le switch par exemple
une taille de paquet annonce diffrente de la ralit, ... Cette
erreur peut tre lorigine dun buffer overflow.

Outils implmentant cette attaque : aucun connu

Parade : Utiliser un switch avec un OS sr par exemple les switchs
cisco catalyst qui ne sont pas sensibles ces attaques selon les tests
faits par @stake.
ces attaques.

19
9 Conclusion
Le protocole 802.1Q a pour vocation de spcifier la fois le comportement
des switches et la structure des trames traites. On constate quil doit
faire face plusieurs exceptions ds que lon se trouve en prsence de
rseaux htrognes tels que Ethenet-FDDI, Ethernet-Token ring, etc. Les
vulnrabilits tudies ont deux origines. Celle sous jacente au protocole
hte dans lequel il faut insrer des tags et celle spcifique au protocole de
vlan lui mme. Lattaque par MAC flooding est une illustration de la
vulnrabilit dun protocole hte, permettant de sniffer un vlan par le biais
de simples requtes arp. Pour les attaques reposant sur les tags, dans la
plupart des cas il faut arriver forger des trames avec les enttes
appropries. Les attaques dcrites sont non exhaustives et on peut
malheureusement craindre une mergence dautres types dattaques. Vu
la trs grande complexit de la norme, des attaques pourraient tre
bases sur les bases de donnes de filtrage, les rgles de filtrage et de
forwarding et galement sur lintgrit des trames compte tenu de la
linarit du checksum. Enfin pour finir, il est important de noter que suite
cette tude il a t possible de dvelopper les attaques par broadcast
ARP et par vlan hoping en servant de le librairie libnet.1.2. sous Linux Red
Hat.

20
10 Rfrences
Norme IEEE 802.3
Norme IEEE 802.1Q

Norme IEEE 802.2

ISO/IEC 11802-5

http://www.ieee802.org/1/files/public/docs97/ingress-map.pdf

Patchs de kernel Linux pour support vlan

http://www.candelatech.com/~greear/vlan.html

Windows vlan
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows20
00serv/reskit/tcpip/part3/tcpch09.asp

2.rules of vlan operations

http://support.3com.com/infodeli/tools/switches/s_stack2/10012709/10012709/2i3vlaa6.htm

Implmentation linux.
http://www.candelatech.com/~greear/vlan.html

A shotcut of tagged and untagged definition of ingress, egress

http://www.marconi.com/media/vlan100.pdf

Cisco 802.1q support

http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t1/8021
q.htm

Switching: Trunks and Dynamic Trunking Protocol (DTP)

http://www.netcraftsmen.net/welcher/papers/switchvtp.html

21