TLDR;
Prevención:
He hecho demostraciones en el pasado en Vlan Hopping y esto generalmente se reduce a la configuración de los dispositivos y la serie de interruptores.
Por ejemplo, en la familia de switches Catalyst de Cisco, el DTP está configurado en "deseable" de manera predeterminada, lo que significa que está dispuesto a troncalizar y todo lo que tiene que hacer es decirle a ese puerto que desea troncalizar y lo creará. Enlace troncal y negociar el protocolo de encapsulación (generalmente 802.1Q). Lo demostré usando una herramienta llamada Yersinia.
Algunas familias de dispositivos Cisco ni siquiera usan DTP y utilizan un proceso y / o protocolo diferente para la negociación de un enlace troncal.
Otra variable que debe unirse para que ocurra este ataque es el uso de la VLAN nativa.
Una forma fácil de evitar este tipo de ataque es no colocar ningún host en la VLAN nativa y / o configurar el modo DTP para no negociar.
En general, tendrá que ver si la serie IE usa DTP. Si no lo hace pero usa algo similar, asegúrese de que sus puertos no se truncarán automáticamente con ningún dispositivo que lo solicite. Básicamente, esto evitaría que un dispositivo no autorizado realice el enlace troncal y envíe paquetes encapsulados dobles que también necesitan utilizar la VLAN nativa.
Decir que tus dispositivos son vulnerables o no es difícil sin ver la configuración, pero los métodos anteriores ayudan a evitar que el ataque tenga éxito.