Istnieje wiele różnych rodzajów ataków na sieci VLAN pojawiających się w nowoczesnych sieciach stosujących przełączniki. Zastosowanie sieci VLAN upraszcza zarządzanie całą siecią i zwiększa jej wydajność, ale równocześnie otwiera drogę do nadużyć. Bardzo ważne jest zrozumienie ogólnej metodyki tych ataków i podstawowych sposobów unikania podatności na nie.
Przeskakiwanie między sieciami VLAN pozwala na pojawienie się ruchu z jednej sieci VLAN w innej. Podszywanie się pod przełącznik jest jednym z rodzajów ataków typu przeskakiwania między sieciami VLAN poprzez wykorzystanie niepoprawnie skonfigurowanego portu trunk. Domyślnie połączenie trunk ma dostęp do wszystkich sieci VLAN i przepuszcza ruch dla wielu sieci VLAN, zasadniczo pomiędzy przełącznikami.
Na rysunku kliknij przycisk Play aby zobaczyć animację ataku podszywania się pod przełącznik.
W podstawowym typie ataku podszywania się pod przełącznik atakujący wykorzystuje fakt, że domyślną konfiguracją portu przełącznika jest ustawienie dynamic auto. Atakujący konfiguruje swój system, aby przedstawiał się jako przełącznik. To podszywanie się pod przełącznik wymaga, aby sprzęt atakującego miał zdolność emulowania protokołu 802.1Q oraz ramek DTP. Oszukując przełącznik tak aby sądził, że inny przełącznik usiłuje zestawić połączenie trunk, atakujący może uzyskać dostęp do wszystkich sieci VLAN dozwolonych na tym porcie trunk.
Najlepszym sposobem na uniemożliwienie tego podstawowego rodzaju ataku podszywania się jest wyłączenie trybu trunk na wszystkich portach przełącznika, za wyjątkiem tych, które rzeczywiście mają zestawić połączenia trunk. Na portach, które mają zestawić połączenia trunk należy wyłączyć protokół DTP i ręcznie skonfigurować tryb trunk.