информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / spanning tree / уязвимые продукты
SPANNING TREE
титул
содержание
введение в spanning tree протокол
STP & VLANs
STP в гетерогенных средах
замечания, вытекающие из анализа RFC 2878
комментарии к написанию кода
возможные схемы атак
получение дополнительной информации о сети
особенности реализации у различных производителей
замечания по поводу Linux bridging project
замечания по поводу GARP и GVRP
обзор атак на 2 уровне OSI
уязвимые продукты
примеры уязвимых сетей
как администраторы могут противостоять атакам
как IDS могут обнаружить STP атаки
корни проблемы, или "откуда ноги растут"
что делать производителям
эпилог
благодарности
ссылки
список литературы
глоссарий
программа формирования ST пакетов
сценарий для запуска программы




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




12. Устройства и программное обеспечение, подверженные описанным STP-атакам и устройства, индифферентные к таким атакам.

Устройства и комплектующие. Все устройства полностью совместимые с спецификацией Spanning Tree протокола [1] определенной в комитете стандартизации IEEE, или, другими словами, почти все интеллектуальное оборудование, обслуживающее локальные вычислительные сети и часть оборудования, используемого для создания WAN соединений. Это включает большинство достаточно интеллектуальных коммутаторов и некоторые маршрутизаторы. Не затронутыми данным типом атак будут все "глупые" устройства, например, концентраторы, поскольку они настолько глупы, что не поддерживают спецификацию ST в [1]. Частично ситуация решается в устройствах, имеющих аналоги cisco BPDU-guard и BPDU-root-guard. Тем не менее, по умолчанию такие устройства также уязвимы, поскольку поддержка STP в них также включена по умолчанию, расширения STP выключены, а кроме того включение их никак не помогло бы покупателям этих устройств, поскольку настройка защиты от STP-атак требует знания топологии сети, и, самое главное, защититься можно отнюдь не от всех перечисленных атак.

Неполный список компаний, производящих так или иначе подверженные STP-атакам устройства включает: Cisco, Avaya(Lucent), 3Com, Intel, HP, Cabletron Systems и так далее - любой производитель, производящий интеллектуальные устройства с поддержкой спецификации [1] может "похвастаться" "дырявостью" этого оборудования. Особенно забавно читать слово secure в названии SFPS от Cabletron Systems в рекламном обзоре Ethernet Switching Bridge Media Interface Module от 1994 года - эта аббревиатура расшифровывается как "SecureFast Packet switching" - на первой же странице красуется поддержка 802.1d - security на небывалой высоте. :) Неважно, кто сделал то или иное STP-совместимое устройство - все они, поддерживая спецификацию Spaning Tree протокола, становятся уязвимыми, поскольку уязвимости эти заложены в самом протоколе.

Программное обеспечение. Проект реализации коммутатора на основе компьютера с OS Linux -- Linux Bridge (см. секцию 20.2 в разделе 20). Как утверждается на основной странице разработчиков - проект полностью совместим с IEEE 802.1D спецификацией STP, поэтому коммутатор, построенный с использованием этого ПО на PC или промышленном ПК, будет также подвержен STP-атакам, как и любой другой коммутатор, совместимый с [1]. Поскольку функции "BPDU-guard" или "spanning-tree portfast" не заявлены, такой коммутатор не имеет никаких средств борьбы с STP-атаками. Мы настоятельно рекомендуем разработчикам включить поддержку этих возможностей в todo на ближайшее время, поскольку в этом случае проект будет иметь хотя бы какое-то подобие системы безопасности.




Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach