Ataque de suplantación del switch
Uno de los ataques comunes en VLANs suele ser el ataque de suplantación de switch y este se basa en que el atacante conecta un cable en un puerto del switch, que este configurado de manera predeterminada como dynamic desirable y en el extremo opuesto del cable simule un enlace troncal (802.1q) y de esta manera poder acceder a todos los paquetes de las distintas VLANs. Es por ello que se recomienda que los puertos no utilizados estén apagados con el comando shutdown y además tengan un modo acceso predefinido por el usuario, que no sea dynamic desirable.
Para realizar este ataque sería tan fácil como ejecutar Yersinia, y enviar algunas tramas DTP al Switch y hacer que este convierta el enlace en troncal.

Como vemos en la imagen 1, el puerto esta en el modo operacional Access pero el modo administrativo se encuentra en dynamic desirable, estado por defecto para este tipo de Switch de Cisco, valor por defecto, no recomendado.

Cuando iniciamos la conversación enviado los paquetes DTP e intentamos activar el enlace troncal, podemos detallar en la consola del Switch como la interfaz de red se apaga y se vuelve a activar (Imagen 3), momento en el cual el modo ha cambiado de Static Access a Trunk (Imagen 4) .


Ataque de etiquetado doble
El ataque de doble etiquetado, puede ocurrir cuando la VLAN de un puerto de acceso es igual a la VLAN de un enlace troncal, de esta forma el atacante puede realizar el ataque, ya que etiqueta el trama con la ID de VLAN a la que desea llegar y luego lo etiqueta con la ID de su VLAN.

Por ejemplo en la imagen 5, vemos como el equipo se conecta a una VLAN 10 y llega hasta la VLAN 20 con el etiquetado doble; aquí el proceso es el siguiente:
- Se envía una trama 802.1q con doble etiquetado.
- El Switch detecta como destino VLAN 10, quita la etiqueta, y no vuelve a etiquetar, ya que es la VLAN nativa y envía al enlace troncal, pero la segunda etiqueta de la VLAN 20 no ha sido manipulada.
- La trama llega al segundo switch que detecta como destino la VLAN 20 y así lo envía hasta el objetivo.
Con Yersinia podemos hacer un ataque de etiqueta doble, desde la pestaña 802.1q. Si entramos en el modo edición, podemos editar los parámetros inferiores y cambiar las IPs, o los ID’s de VLAN correspondientes.

Si analizamos el enlace troncal con Wireshark, podemos ver la trama con el etiquetado doble claramente, como se ve en la imagen 7.

Para mitigar este tipo de ataques es necesario el tener las VLANs de Acceso separadas de las VLANs troncales, con un ID totalmente distinto.
VLANs Privadas (PVLAN)
Otra característica que se puede aplicar en un Switch Cisco son las VLANs privadas, de esta manera, podríamos aislar ciertos host dentro de una misma VLAN. Funciona de la siguiente manera: En el switch se asignan puertos protegidos, los cuales no podrán recibir datos de otros puertos protegidos, solamente de los que están desprotegidos:
- Puerto protegido -> Puerto protegido = No se envían datos
- Puerto desprotegido -> Puerto protegido y viceversa = Se envían datos.
Los puertos protegidos se asignan manualmente desde la configuración de la interfaz con el comando:
S1(Config-if)# Switchport protected
De esta forma conseguimos designarlo como protegido aislándolo de los demás puertos protegidos.