BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/books/stp/chapter12/

12. Устройства и программное обеспечение, подверженные описанным STP-атакам и устройства, индифферентные к таким атакам.

Устройства и комплектующие. Все устройства полностью совместимые с спецификацией Spanning Tree протокола [1] определенной в комитете стандартизации IEEE, или, другими словами, почти все интеллектуальное оборудование, обслуживающее локальные вычислительные сети и часть оборудования, используемого для создания WAN соединений. Это включает большинство достаточно интеллектуальных коммутаторов и некоторые маршрутизаторы. Не затронутыми данным типом атак будут все "глупые" устройства, например, концентраторы, поскольку они настолько глупы, что не поддерживают спецификацию ST в [1]. Частично ситуация решается в устройствах, имеющих аналоги cisco BPDU-guard и BPDU-root-guard. Тем не менее, по умолчанию такие устройства также уязвимы, поскольку поддержка STP в них также включена по умолчанию, расширения STP выключены, а кроме того включение их никак не помогло бы покупателям этих устройств, поскольку настройка защиты от STP-атак требует знания топологии сети, и, самое главное, защититься можно отнюдь не от всех перечисленных атак.

Неполный список компаний, производящих так или иначе подверженные STP-атакам устройства включает: Cisco, Avaya(Lucent), 3Com, Intel, HP, Cabletron Systems и так далее - любой производитель, производящий интеллектуальные устройства с поддержкой спецификации [1] может "похвастаться" "дырявостью" этого оборудования. Особенно забавно читать слово secure в названии SFPS от Cabletron Systems в рекламном обзоре Ethernet Switching Bridge Media Interface Module от 1994 года - эта аббревиатура расшифровывается как "SecureFast Packet switching" - на первой же странице красуется поддержка 802.1d - security на небывалой высоте. :) Неважно, кто сделал то или иное STP-совместимое устройство - все они, поддерживая спецификацию Spaning Tree протокола, становятся уязвимыми, поскольку уязвимости эти заложены в самом протоколе.

Программное обеспечение. Проект реализации коммутатора на основе компьютера с OS Linux -- Linux Bridge (см. секцию 20.2 в разделе 20). Как утверждается на основной странице разработчиков - проект полностью совместим с IEEE 802.1D спецификацией STP, поэтому коммутатор, построенный с использованием этого ПО на PC или промышленном ПК, будет также подвержен STP-атакам, как и любой другой коммутатор, совместимый с [1]. Поскольку функции "BPDU-guard" или "spanning-tree portfast" не заявлены, такой коммутатор не имеет никаких средств борьбы с STP-атаками. Мы настоятельно рекомендуем разработчикам включить поддержку этих возможностей в todo на ближайшее время, поскольку в этом случае проект будет иметь хотя бы какое-то подобие системы безопасности.



  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach