Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Spanning-tree, et si l'on se permettait un complément ?

Spanning-tree, et si l'on se permettait un complément ?
2011-12-012013-02-11bonnes pratiquesfr
Le spanning-tree est un protocole encore très répandu, et cela bien que les constructeurs poussent maintenant l'ensemble de leurs clients à mettre en œuvre du routage de niveau 3 dès l'extrémité. En ce sens, l'article de mon collègue Pascal prend tout son intérêt car nous ne sommes...
Publié le 1 Décembre 2011 par Cedric Baillet dans bonnes pratiques

Le spanning-tree est un protocole encore très répandu, et cela bien que les constructeurs poussent maintenant l’ensemble de leurs clients à mettre en œuvre du routage de niveau 3 dès l’extrémité. En ce sens, l’article  
La plupart des constructeurs de commutateurs ont désormais intégré une fonction souvent appelée « BPDU GUARD » qui permet de filtrer ces paquets sur les ports utilisateur. Ces derniers sont donc supprimés systématiquement lorsqu’ils sont détectés sur un port anormal, ce qui protège le châssis et l’ensemble du domaine de niveau 2. Le cas présenté dans le schéma précédent devient donc caduc.

Maintenant, en dehors de la théorie qui vient d’être présentée, pourquoi est-ce réellement important de penser à mettre en œuvre cette fonction ? Tout simplement parce que des outils permettant de réaliser cette attaque de façon simple existent – et cela sans même avoir à utiliser une ligne de commande !

passons à la pratique

Passons donc à la pratique. L’outil utilisé dans la vidéo ci-dessous se nomme Yersinia. C’est l’un des rares outils permettant de jouer avec les protocoles de niveau 2. Attention, ce n’est pas parce qu’il y a peu d’outils que la qualité n’est pas au rendez vous !

Voir cette vidéo sur YouTube

Et voila, c’était simple n’est-ce pas (du point de vue de l’attaquant tout au moins) ? Néanmoins, cette vidéo ne recouvre qu’un seul cas. Je vous invite donc à vous documenter également sur les fonctions « root guard» ou encore « loop guard ». Ce protocole, comme beaucoup d’autres possèdent de nombreuses options à ne pas négliger pour garantir une bonne sécurité.

ma vision personnelle pour conclure ce point

Tout ceci ne nous rajeunit pas et nous tourne encore moins vers le futur. Néanmoins, en considérant que l’adoption des nouveaux protocoles et le renouvellement des réseaux de production existants se fait sur de nombreuses années, il me semble que se replonger dans ces options peut toujours être intéressant pour nombre d’entre nous. Une preuve ? Lors des différentes interventions que j’ai pu être amené à faire sur ce sujet ces trois dernières années, bien peu des participants avaient effectué ce travail d’analyse pourtant intéressant et peu couteux.

Cedric

1 Commentaire

  • 1 Décembre 2011
    2011-12-01
    par
    Michal
    Hello Cedric ,  cool de voir un blog de ce genre sur le site d'OBS. Yersinia parait intéressant a tester sur des réseaux internes également :-). Cela me fait penser a d'autres solution comme filtering inbound basée sur des MAC ACL qui match la valeur DSAP au niveau LLC ou policing de paquets BPDU: 
    Pour savoir quelle valeur LLC - PID utiliser ou comment en général se présente la trame PVSTP+ ( quand cela concerne des réseaux basés sur des catalyst par exemple ) voici le lien vers le cloudshark: PVST+ http://www.cloudshark.org/captures/1ca6db1458fc
    Une autre solution serait de mettre le routage IP a la place de switching ou remplacer le spanning-tree par des protocoles TRILL-like ou SPB-like.    Michal
    ############
    #mac access-list extended LIMIT_BPDU      permit any any lsap 0x4242 0x0         permit any any 0x42 0x0        permit any any 0x10B 0x0  <== PID
    #class-map match-all CM_LIMIT_BPDU  match access-group name LIMIT_BPDU
    #policy-map BPDU_LIMIT  class CM_LIMIT_BPDU   police 50000 8000 exceed-action drop
    #interface FastEthernet0/15      switchport trunk encapsulation dot1q      switchport mode trunk      switchport nonegotiate      service-policy input BPDU_LIMIT
    ###################

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage