* Seguridad del puerto: Esta es posiblemente la defensa más crucial. Las configuraciones de seguridad del puerto restringen qué direcciones MAC pueden comunicarse en un puerto específico. Esto evita que los dispositivos no autorizados se conecten y exploten potencialmente vulnerabilidades de salto VLAN. Las características comunes incluyen:
* Filtrado de dirección MAC: Solo permite que las direcciones MAC específicas se conecten.
* Seguridad del puerto Número máximo de direcciones MAC: Limitar el número de direcciones MAC permitidas en un puerto para evitar ataques de inundación de direcciones MAC que a menudo se usan como preludio para el salto de VLAN.
* Inspección dinámica de ARP (DAI): Verificación de la legitimidad de las solicitudes ARP. Esto ayuda a prevenir la intoxicación por ARP, que es una técnica común utilizada en los ataques de salto VLAN.
* VLAN privadas (Pvlans): Creación de grupos aislados de puertos dentro de una VLAN. Esto limita aún más la comunicación dentro de la VLAN, evitando el movimiento lateral incluso si un Hop VLAN tiene éxito.
* 802.1x Autenticación: Esto proporciona una fuerte autenticación antes de que un dispositivo pueda conectarse a la red, lo que dificulta que los dispositivos no autorizados obtengan acceso y realicen saltos VLAN. Se requiere un dispositivo para autenticarse antes de recibir la asignación de VLAN, evitando así que un atacante explote puertos sin etiquetar u otras vulnerabilidades.
* VLAN Protocolo de truncado (VTP) Seguridad: VTP se utiliza para propagar configuraciones de VLAN en una red. Sin embargo, las configuraciones de VTP aseguradas incorrectamente pueden permitir a los atacantes manipular la información de VLAN. Las mejores prácticas incluyen:
* Protección de contraseña: Habilitar contraseñas seguras para evitar cambios de configuración VTP no autorizados.
* VTP poda: Evitando que la información innecesaria de la VLAN se propague en toda la red para limitar la exposición.
* Configuración del servidor VTP: Configuración centralizada del servidor VTP para hacer cumplir la consistencia y el control.
* Puertos de borde VLAN privado: Restringir la comunicación entre las VLAN comunitarias y las VLAN aisladas dentro de un despliegue privado de VLAN evita el acceso no autorizado, incluso si un atacante de alguna manera logra acceder a un puerto sin etiquetar.
* Auditorías y monitoreo de seguridad regulares: Revisar regularmente las configuraciones de red, los registros y los patrones de tráfico puede ayudar a identificar cualquier actividad sospechosa y potencial vulnerabilidad que pueda permitir el salto VLAN.
* Endurecimiento de seguridad de cambio: Esto implica deshabilitar las características y servicios innecesarios en sus interruptores de red para reducir la superficie del ataque. Por ejemplo, deshabilitar los puertos y protocolos no utilizados, aplicar contraseñas predeterminadas sólidas, habilitar el registro y la auditoría, y el uso de métodos de autenticación sólidos.
Es importante tener en cuenta que ninguna medida de seguridad es infalible. Un enfoque en capas, que combina múltiples mejores prácticas de seguridad, es necesario para mitigar de manera efectiva los ataques de salto VLAN. Las medidas específicas implementadas deben adaptarse al tamaño, la complejidad y los requisitos de seguridad de la red.