Skip to content

L2 Bedreigingen

Security technieken spelen zich meestal af op L3 en hoger — VPN, firewall, IPS, ... Maar als een aanvaller voet aan de grond krijgt op L2, zijn alle hogere lagen mogelijk in gevaar. L2 is in de praktijk vaak de zwakste schakel: we vertrouwen het lokale netwerk blind, we moeten er sowieso aan koppelen om te kunnen werken, en we denken zelden na over wie of wat er nog allemaal op aangesloten zit.

In tijden van BYOD en gratis beschikbare hacktools is dat een probleem.


Aanvalsoverzicht

Aanval Doel
MAC table flooding MAC adrestabel van switch vollopen met valse info
VLAN hopping Toegang krijgen tot andere VLANs zonder router
VLAN double tagging Frame sturen naar een ander VLAN via dubbele tag
DHCP starvation DHCP pool uitputten → DoS voor clients
DHCP spoofing Valse DHCP server → foute netwerkinstellingen uitdelen
ARP spoofing/poisoning ARP tabellen manipuleren → MITM
Address spoofing MAC of IP adres van ander toestel overnemen
STP aanval Root bridge spoofen → topologie manipuleren
CDP reconnaissance CDP info misbruiken voor netwerkinformatie

MAC Table Flooding

Switches hebben een fixed size MAC adrestabel. Als die vol zit, floodt de switch inkomende frames naar alle poorten in hetzelfde VLAN — en kan een aanvaller al dat verkeer onderscheppen.

Aanval: 1. Aanvaller stuurt massaal frames met valse source MAC adressen (bv. via macof) 2. Tabel raakt vol — legitieme entries worden verdrongen 3. Switch gedraagt zich als een hub: alle frames worden geflood 4. Aanvaller onderschept verkeer via Wireshark → reconnaissance, eavesdropping

Een Catalyst switch houdt tot 132.000 entries bij. macof genereert 8.000 fake frames per seconde → tabel vol in ~20 seconden.

Mitigatie: Port Security — beperkt het aantal MAC adressen dat via een poort geleerd mag worden.


VLAN Aanvallen

VLAN Hopping

Aanval waarbij verkeer bedoeld voor één VLAN gezien kan worden door een ander VLAN, zonder router.

Misbruikt het feit dat access poorten soms als trunk geconfigureerd staan. De aanvaller laat zijn toestel zich gedragen als een switch (stuurt valse trunking signalisatie), waarna de switch een trunk opzet. Via die trunk kan de aanvaller verkeer sturen en ontvangen op alle VLANs.

Mitigatie: - Trunking disablen op alle access poorten - Auto-trunking uitschakelen, altijd handmatig configureren - Dedicated native VLAN gebruiken dat enkel trunk poorten gebruiken

VLAN Double Tagging

Aanvaller steekt een verborgen VLAN tag in de payload van een al getagd frame.

  1. Buitenste tag = native VLAN ID van de switch
  2. Eerste switch verwijdert de buitenste tag en forwardet op native VLAN poorten — zonder hertag
  3. Volgende switch ziet de nu zichtbare binnenste tag en forwardet naar dat doelVLAN

Werkt enkel als de aanvaller verbonden is op een poort in hetzelfde VLAN als het native VLAN van de trunk.

Mitigatie: zelfde als VLAN hopping — dedicated native VLAN, trunking niet auto.


DHCP Aanvallen

DHCP zelf is geen L2 protocol, maar de mitigatie speelt zich wel op L2 af.

DORA: Discover → Offer → Request → Acknowledge

DHCP Starvation

Doel: DHCP pool volledig uitputten → DoS voor nieuwe clients.

Aanvaller stuurt voortdurend DHCP Discover berichten met valse source MAC adressen (bv. via Gobbler tool). De DHCP server denkt dat het echte clients zijn en reserveert alle IP-adressen. Nieuwe legitieme clients kunnen geen IP-adres meer krijgen.

Mitigatie: Port Security

DHCP Spoofing

Een rogue DHCP server verschijnt op het netwerk en deelt foute informatie uit:

Foutieve info Gevolg
Fout IP adres Client kan niet communiceren
Verkeerde default gateway Al het verkeer omgeleid → MITM mogelijk
Verkeerd DNS adres DNS in handen van aanvaller → gebruikers omgeleid naar kwaadaardige sites

Mitigatie: DHCP Snooping


ARP Aanvallen

ARP werking

Om een frame door te sturen naar de volgende hop heeft een toestel het MAC adres nodig van die hop. ARP lost dat op: een broadcast vraagt "wie heeft IP x.x.x.x?" — de node met dat IP antwoordt met zijn MAC via unicast ARP reply.

Gratuitous ARP

Een node kan spontaan een broadcast ARP reply sturen zonder dat er een request was (unsollicited ARP). Alle nodes die dit horen slaan het vermelde IP-MAC paar automatisch op in hun ARP cache.

Probleem: er is geen verificatie. Elke host kan claimen de eigenaar te zijn van eender welke IP-MAC combinatie.

ARP Spoofing / Poisoning → MITM

  1. Aanvaller stuurt gratuitous ARPs naar beide slachtoffers
  2. Naar slachtoffer A: "IP van B hoort bij MAC van aanvaller"
  3. Naar slachtoffer B: "IP van A hoort bij MAC van aanvaller"
  4. Beide slachtoffers sturen nu hun verkeer naar de aanvaller → MITM
  5. Aanvaller kan alles lezen, aanpassen of doorsturen

Mitigatie: DAI (Dynamic ARP Inspection)


Address Spoofing

Een aanvaller neemt een reeds aanwezig MAC of IP adres over. Dit veroorzaakt een duplicaat adres probleem en verstoort de correcte communicatie van het getroffen toestel.

Mitigatie: IP Source Guard (IPSG)


STP Aanvallen

Aanvaller stuurt BPDU's met valse topologie-informatie → STP berekent de topologie opnieuw. Door een BPDU met zeer lage prioriteit te sturen, hoopt de aanvaller verkozen te worden als root bridge → verkeer loopt via zijn toestel.

Mitigatie: BPDU Guard activeren op alle access poorten.


CDP Reconnaissance

CDP (Cisco Discovery Protocol) deelt automatisch informatie over het toestel uit: modelnummer, IOS versie, IP-adressen, poortinformatie, ... Handig voor beheer, maar ook interessant voor een aanvaller in zijn verkenningsfase.

Mitigatie: CDP uitschakelen op access poorten en op poorten richting onbetrouwbare toestellen of netwerken (bv. WAN poorten).