L2 Bedreigingen
Security technieken spelen zich meestal af op L3 en hoger — VPN, firewall, IPS, ... Maar als een aanvaller voet aan de grond krijgt op L2, zijn alle hogere lagen mogelijk in gevaar. L2 is in de praktijk vaak de zwakste schakel: we vertrouwen het lokale netwerk blind, we moeten er sowieso aan koppelen om te kunnen werken, en we denken zelden na over wie of wat er nog allemaal op aangesloten zit.
In tijden van BYOD en gratis beschikbare hacktools is dat een probleem.
Aanvalsoverzicht
| Aanval | Doel |
|---|---|
| MAC table flooding | MAC adrestabel van switch vollopen met valse info |
| VLAN hopping | Toegang krijgen tot andere VLANs zonder router |
| VLAN double tagging | Frame sturen naar een ander VLAN via dubbele tag |
| DHCP starvation | DHCP pool uitputten → DoS voor clients |
| DHCP spoofing | Valse DHCP server → foute netwerkinstellingen uitdelen |
| ARP spoofing/poisoning | ARP tabellen manipuleren → MITM |
| Address spoofing | MAC of IP adres van ander toestel overnemen |
| STP aanval | Root bridge spoofen → topologie manipuleren |
| CDP reconnaissance | CDP info misbruiken voor netwerkinformatie |
MAC Table Flooding
Switches hebben een fixed size MAC adrestabel. Als die vol zit, floodt de switch inkomende frames naar alle poorten in hetzelfde VLAN — en kan een aanvaller al dat verkeer onderscheppen.
Aanval:
1. Aanvaller stuurt massaal frames met valse source MAC adressen (bv. via macof)
2. Tabel raakt vol — legitieme entries worden verdrongen
3. Switch gedraagt zich als een hub: alle frames worden geflood
4. Aanvaller onderschept verkeer via Wireshark → reconnaissance, eavesdropping
Een Catalyst switch houdt tot 132.000 entries bij. macof genereert 8.000 fake frames per seconde → tabel vol in ~20 seconden.
Mitigatie: Port Security — beperkt het aantal MAC adressen dat via een poort geleerd mag worden.
VLAN Aanvallen
VLAN Hopping
Aanval waarbij verkeer bedoeld voor één VLAN gezien kan worden door een ander VLAN, zonder router.
Misbruikt het feit dat access poorten soms als trunk geconfigureerd staan. De aanvaller laat zijn toestel zich gedragen als een switch (stuurt valse trunking signalisatie), waarna de switch een trunk opzet. Via die trunk kan de aanvaller verkeer sturen en ontvangen op alle VLANs.
Mitigatie: - Trunking disablen op alle access poorten - Auto-trunking uitschakelen, altijd handmatig configureren - Dedicated native VLAN gebruiken dat enkel trunk poorten gebruiken
VLAN Double Tagging
Aanvaller steekt een verborgen VLAN tag in de payload van een al getagd frame.
- Buitenste tag = native VLAN ID van de switch
- Eerste switch verwijdert de buitenste tag en forwardet op native VLAN poorten — zonder hertag
- Volgende switch ziet de nu zichtbare binnenste tag en forwardet naar dat doelVLAN
Werkt enkel als de aanvaller verbonden is op een poort in hetzelfde VLAN als het native VLAN van de trunk.
Mitigatie: zelfde als VLAN hopping — dedicated native VLAN, trunking niet auto.
DHCP Aanvallen
DHCP zelf is geen L2 protocol, maar de mitigatie speelt zich wel op L2 af.
DORA: Discover → Offer → Request → Acknowledge
DHCP Starvation
Doel: DHCP pool volledig uitputten → DoS voor nieuwe clients.
Aanvaller stuurt voortdurend DHCP Discover berichten met valse source MAC adressen (bv. via Gobbler tool). De DHCP server denkt dat het echte clients zijn en reserveert alle IP-adressen. Nieuwe legitieme clients kunnen geen IP-adres meer krijgen.
Mitigatie: Port Security
DHCP Spoofing
Een rogue DHCP server verschijnt op het netwerk en deelt foute informatie uit:
| Foutieve info | Gevolg |
|---|---|
| Fout IP adres | Client kan niet communiceren |
| Verkeerde default gateway | Al het verkeer omgeleid → MITM mogelijk |
| Verkeerd DNS adres | DNS in handen van aanvaller → gebruikers omgeleid naar kwaadaardige sites |
Mitigatie: DHCP Snooping
ARP Aanvallen
ARP werking
Om een frame door te sturen naar de volgende hop heeft een toestel het MAC adres nodig van die hop. ARP lost dat op: een broadcast vraagt "wie heeft IP x.x.x.x?" — de node met dat IP antwoordt met zijn MAC via unicast ARP reply.
Gratuitous ARP
Een node kan spontaan een broadcast ARP reply sturen zonder dat er een request was (unsollicited ARP). Alle nodes die dit horen slaan het vermelde IP-MAC paar automatisch op in hun ARP cache.
Probleem: er is geen verificatie. Elke host kan claimen de eigenaar te zijn van eender welke IP-MAC combinatie.
ARP Spoofing / Poisoning → MITM
- Aanvaller stuurt gratuitous ARPs naar beide slachtoffers
- Naar slachtoffer A: "IP van B hoort bij MAC van aanvaller"
- Naar slachtoffer B: "IP van A hoort bij MAC van aanvaller"
- Beide slachtoffers sturen nu hun verkeer naar de aanvaller → MITM
- Aanvaller kan alles lezen, aanpassen of doorsturen
Mitigatie: DAI (Dynamic ARP Inspection)
Address Spoofing
Een aanvaller neemt een reeds aanwezig MAC of IP adres over. Dit veroorzaakt een duplicaat adres probleem en verstoort de correcte communicatie van het getroffen toestel.
Mitigatie: IP Source Guard (IPSG)
STP Aanvallen
Aanvaller stuurt BPDU's met valse topologie-informatie → STP berekent de topologie opnieuw. Door een BPDU met zeer lage prioriteit te sturen, hoopt de aanvaller verkozen te worden als root bridge → verkeer loopt via zijn toestel.
Mitigatie: BPDU Guard activeren op alle access poorten.
CDP Reconnaissance
CDP (Cisco Discovery Protocol) deelt automatisch informatie over het toestel uit: modelnummer, IOS versie, IP-adressen, poortinformatie, ... Handig voor beheer, maar ook interessant voor een aanvaller in zijn verkenningsfase.
Mitigatie: CDP uitschakelen op access poorten en op poorten richting onbetrouwbare toestellen of netwerken (bv. WAN poorten).