
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Danh sách nội dung [Ẩn]
Cách bảo vệ hệ thống mạng trước BPDU attack
Giao Spanning-tree được sử dụng để cắt các vòng lặp mà các liên kết dư thừa tạo ra trong các mạng cầu nối. Các gói này không được hệ thống chứng thực, vì vậy kẻ tấn công có thể giả mạo BPDU và làm ảnh hưởng đến sự ổn định của mạng!
Xem bên dưới để hiểu BPDU attack:
Trong ví dụ này, bộ chuyển mạch Ciscozine1 được chọn là Cầu nối gốc do địa chỉ MAC thấp hơn (giả sử rằng tất cả các bộ chuyển mạch đều có cùng mức độ ưu tiên).
Điều gì xảy ra nếu kẻ tấn công (trong trường hợp này là máy tính xách tay) giả mạo một BPDU có mức độ ưu tiên thấp hơn?
Kẻ tấn công (máy tính xách tay màu đỏ) sẽ là cầu nối gốc mới và thay đổi cấu trúc Spanning-tree. Xem hình:
Với cấu trúc liên kết mới này, Ciscozine3 và Ciscozine4 chỉ sử dụng Ciscozine1 để chuyển gói, trong khi Ciscozine2 không được sử dụng bởi các bộ chuyển mạch truy cập (Ciscozine3 và Ciscozine4)!
Ngoài ra, việc chọn kẻ tấn công làm gốc khiến liên kết Gigabit Ethernet kết nối hai bộ chuyển mạch lõi (Ciscozine1 và Ciscozine2) bị chặn, khiến suboptimal network (mạng dưới mức tối ưu) .
Lưu ý:
- Quản trị viên có thể đặt mức ưu tiên của cầu nối gốc thành 0 trong nỗ lực đảm bảo vị trí cầu nối gốc, nhưng không có gì đảm bảo đối với cầu nối có mức độ ưu tiên bằng 0 và địa chỉ MAC thấp hơn.
- Việc đưa vào tạm thời và sau đó loại bỏ các thiết bị STP có mức ưu tiên cầu thấp (0) sẽ gây ra việc tính toán lại STP vĩnh viễn.
Làm cách nào tôi có thể tự bảo vệ mình trước cuộc tấn công giả mạo BPDU?
Cisco đã triển khai ba giải pháp khác nhau: BPDU Guard , BPDU Filtering và Root Guard .
Tăng cường bảo vệ STP PortFast BPDU cho phép các nhà thiết kế mạng thực thi các biên giới miền STP và giữ cho cấu trúc liên kết hoạt động có thể dự đoán được. Các thiết bị phía sau cổng đã bật STP PortFast không thể ảnh hưởng đến cấu trúc liên kết STP. Khi nhận BPDU, hoạt động bảo vệ BPDU sẽ vô hiệu hóa cổng có cấu hình PortFast. Bộ bảo vệ BPDU chuyển cổng sang trạng thái có thể xóa được và một thông báo xuất hiện trên bảng điều khiển.
Bạn có thể bật hoặc tắt tính năng bảo vệ STP PortFast BPDU trên cơ sở toàn cầu, ảnh hưởng đến tất cả các cổng đã cấu hình PortFast. Theo mặc định, bảo vệ STP BPDU bị vô hiệu hóa.
Để kích hoạt tính năng bảo vệ BPDU trên toàn bộ công tắc, hãy sử dụng lệnh sau:
Ciscozine3(config)#spanning-tree portfast bpduguard default
Để bật tính năng bảo vệ PortFast BPDU trên một cổng chuyển đổi cụ thể, hãy sử dụng lệnh sau:
Ciscozine3(config)#spanning-tree bpduguard enable
Sử dụng lệnh sau để xác minh cấu hình BPDU:
Ciscozine3#show spanning-tree summary totals
Bộ bảo vệ STP PortFast BPDU đã được giới thiệu trong Bản phát hành phần mềm Cisco IOS 12.1.
Lưu ý:
- Bộ bảo vệ STP PortFast BPDU không khả dụng cho các bộ chuyển mạch Catalyst 8500 series, 2948G-L3 hoặc 4908G-L3.
- Bạn phải bật lại thủ công cổng được đặt ở trạng thái có thể xóa được hoặc định cấu hình thời gian chờ có thể xóa được.
Khi được định cấu hình trên toàn cầu, tính năng lọc PortFast BPDU áp dụng cho tất cả các cổng PortFast đang hoạt động. Các cổng ở trạng thái PortFast đang hoạt động được cho là được kết nối với các máy chủ, vốn thường loại bỏ các BPDU. Nếu một cổng PortFast đang hoạt động nhận được một BPDU, nó sẽ ngay lập tức mất trạng thái PortFast đang hoạt động . Trong trường hợp đó, tính năng lọc PortFast BPDU bị vô hiệu hóa trên cổng này và STP tiếp tục gửi các BPDU trên cổng này.
Bộ lọc PortFast BPDU cũng có thể được cấu hình trên cơ sở mỗi cổng. Khi lọc PortFast BPDU được cấu hình rõ ràng trên một cổng, nó sẽ không gửi bất kỳ BPDU nào và loại bỏ tất cả các BPDU mà nó nhận được.
Để bật tính năng lọc PortFast BPDU trên toàn bộ công tắc, hãy sử dụng lệnh sau:
Ciscozine3(config)#spanning-tree portfast bpdufilter default
Để bật tính năng lọc PortFast BPDU trên một cổng chuyển đổi cụ thể, hãy sử dụng lệnh sau:
Ciscozine3(config-if)#spanning-tree bpdufilter enable
Để xác minh cấu hình trên switch, hãy sử dụng lệnh này:
Ciscozine3#show spanning-tree summary
Bộ lọc STP PortFast BPDU đã được giới thiệu trong Phiên bản phần mềm Cisco IOS 12.1(13)E.
Hãy nhớ rằng: Cấu hình rõ ràng của bộ lọc PortFast BPDU trên một cổng không được kết nối với một trạm chủ có thể dẫn đến các vòng lặp bắc cầu. Cổng bỏ qua mọi BPDU đến và chuyển sang trạng thái chuyển tiếp. Điều này không xảy ra khi lọc PortFast BPDU được bật trên toàn cầu.
BPDU Root guard đảm bảo rằng cổng mà bộ bảo vệ gốc được kích hoạt là cổng được chỉ định. Thông thường, các cổng của root bridge đều là các cổng được chỉ định, trừ khi hai hoặc nhiều cổng của root bridge được kết nối với nhau. Nếu cầu nối nhận Đơn vị dữ liệu giao thức cầu nối STP (BPDU) ưu việt trên một cổng được kích hoạt bộ bảo vệ gốc, thì bộ bảo vệ gốc sẽ di chuyển cổng này sang trạng thái root-inconsistent STP state. Trạng thái không nhất quán gốc này có hiệu quả tương đương với trạng thái lắng nghe . Không có lưu lượng nào được chuyển tiếp qua cổng này.
Để bật Root Guard trên một cổng chuyển đổi cụ thể, hãy sử dụng lệnh này:
Ciscozine3(config-if)#spanning-tree rootguard.
BPDU Root guard khả dụng trong Phiên bản phần mềm Cisco IOS 12.0(5)XU trở lên. Bộ chuyển mạch sê-ri Catalyst 2950 hỗ trợ tính năng bảo vệ gốc trong Bản phát hành phần mềm Cisco IOS 12.0(5.2)WC(1) trở lên. Bộ chuyển mạch sê-ri Catalyst 3550 hỗ trợ tính năng bảo vệ gốc trong Bản phát hành phần mềm Cisco IOS 12.1(4)EA1 trở lên.
Lưu ý: Bạn phải bật lại thủ công cổng được đặt ở trạng thái có thể xóa được hoặc định cấu hình thời gian chờ có thể xóa được.
Kết luận: Theo tôi, BPDU Guard kiểm soát cuộc tấn công giả mạo BPDU tốt hơn nhiều so với BPDU Filtering . Trên thực tế, BPDU Guard chặn ngay lập tức cổng khi nhận các BPDU, trong khi Lọc BPDU chỉ vô hiệu hóa tính năng portfast.
Tính năng Root guard hạn chế một phần kiểu tấn công này; trên thực tế, kẻ tấn công sẽ không phải là cầu nối gốc, nhưng nó có thể tham gia vào thể hiện của cây bao trùm.
Vì những lý do này, một giải pháp tốt để chặn cuộc tấn công giả mạo BPDU là bật kiểm soát Bảo vệ BPDU ở tất cả các cổng fastethernet được sử dụng để kết nối máy tính xách tay/PC/Máy chủ, đồng thời bật tính năng bảo vệ gốc trên các cổng được sử dụng để kết nối bộ chuyển mạch.
Nếu bạn có bất kỳ câu hỏi hoặc gặp khó khăn, đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
• Điện thoại: 02432012368
• Hotline: 098 115 6699
• Email: info@datech.vn
• Website: https://datech.vn