حمله STP چیست؟ و راهکارهای جلوگیری از آن
در این مقاله آموزشی از ساینت حمله STP را مورد بررسی قرار می دهیم و همچنین ۲ راهکار برای ایجاد امنیت در مقابل این حمله ارائه می دهیم:
- محافظت با Root Guard و
- Layer 2 Protection با BPDU Guard
بیایید ببینیم که هرکدام چگونه کار می کند:
محافظت در مقابل حمله STP با پیکربندی Root Guard
Root Guard را می توان روی تمام پورت های سوئیچ فعال کرد که نباید به root ports تبدیل شوند. بنابراین این به معنی در هر پورت است که یک درگاه ریشه ای نیست. برای یادآوری ، root ports در هر سوئیچ پورت ای است که نزدیکترین پورت به سوئیچ root bridge است. اگر پورت پیکربندی شده برای Root Guard از BPDU دریافت کند ، وی BPDU را باور نخواهد کرد و سپس به جای تبدیل شدن به root پورت ، پورت به حالت inconsistent می رود. وزمانی که یک پورت در حالت inconsistent قرار گیرد ، وی برای اطلاعات کاربر کاملاً مسدود شده است ، و هیچ داده ای از کاربری در آن ارسال نمی شود. با این حال می شود به نحوی پیکر بندی را انجام داد که پس از متوقف شدن پیام های BPDU پورت به حالت forwarding برگردد.
پیکر بندیRoot Guard را با استفاده از دستورات زیر روی پورت میتوان انجام داد :
Switch (config)# interface gigabitethernet 0/1
Switch (config-if)# spanning-tree guard root
محافظت از حملات لایه ۲ با BPDU Guard
BPDU Guard باید در کلیه پورتهایی که ویژگی Cisco PortFast را دارند فعال شود. ویژگی PortFast روی پورت هایی که به دستگاه های میزبان(Host) وصل می شوند ، مانند رایانه های شخصی کاربر نهایی می توان فعال کرد. این ویژگی این امکان را می دهد که زمان مورد نیاز برای قرار گرفتن پورت در حالت forwarding کوتاه شود و به عبارتی پورت پس از اتصال سریعتر فعال شود.
به یاد داشته باشید که روند همگرایی STP(convergence) کلاسیک برای شبکه های امروزی است بسیار کند است. قبل از انتقال پورت به حالت forwarding حالتی که امکان ارسال و دریافت داده ها در آن فعال میباشد، STP پورت را برای مدت زمان ۲۰ ثانیه در حالت مسدودblocking قرار می دهد ، ۱۵ ثانیه حالت گوش دادن listening ، ۱۵ ثانیه دیگر حالت یادگیریlearning و سپس در نهایت آن را در حالت forwarding قرار می دهد. همه اینها به این دلیل توسط STP انجام میشود برای اینکه باید مطمئن باشد که این پورت با ورود به حالت forwarding، یک حلقه لایه ۲ layer 2 loop) ( ایجاد نمی کند.
منطق استفاده شده در حالت PortFast این است که پورت متصل شده به یک دستگاه کاربر نهایی امکان ایجاد حلقه توپولوژی را ندارد. به همین دلیل با رد شدن از حالتهای گوش دادن و یادگیری STP می توان پورت را زودتر فعال کرد. از آنجا که این پورت های پیکربندی شده توسط PortFast به دستگاه های کاربر نهایی متصل هستند ، آنها هرگز نباید BPDU دریافت کنند (BPDU فقط توسط سوئیچ ها ارسال می شود). بنابراین ، اگر پورت فعال شده برای BPDU, Guard BPDU را دریافت کند ، پورت غیرفعال می شود و این دریافت گزارش میشود.
پیکر بندی BPDU Guard:
Switch(config)# interface gigabitethernet 0/2
Switch(config-if)# spanning-tree port fast bpduguard
در صوتی که به مقالات امنیت سوییچ ها علاقه مندید پیشنهاد میشود مقاله : ۱۱ راهکار برای امنیت سوئیچ های سیسکو را نیز مطالعه کنید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.