информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Все любят медSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Tailscale окончательно забанила... 
 Прекращение работы антивируса Касперского... 
 Microsoft Authenticator теряет... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / spanning tree / корни проблемы, или "откуда ноги растут"
SPANNING TREE
титул
содержание
введение в spanning tree протокол
STP & VLANs
STP в гетерогенных средах
замечания, вытекающие из анализа RFC 2878
комментарии к написанию кода
возможные схемы атак
получение дополнительной информации о сети
особенности реализации у различных производителей
замечания по поводу Linux bridging project
замечания по поводу GARP и GVRP
обзор атак на 2 уровне OSI
уязвимые продукты
примеры уязвимых сетей
как администраторы могут противостоять атакам
как IDS могут обнаружить STP атаки
корни проблемы, или "откуда ноги растут"
что делать производителям
эпилог
благодарности
ссылки
список литературы
глоссарий
программа формирования ST пакетов
сценарий для запуска программы




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




16. Корни проблемы, или "откуда ноги растут"

Теоретически нет возможности полностью избежать описанных атак для протокола подобного STP, кроме как отключением поддержки этого протокола для всей сети, поскольку требуется (все одновременно): и возможность подключить сетевое устройство в любое место сложной ЛВС с динамической топологией любым возможным способом, и без дополнительной административной акции получить автоматическую правильную реконфигурацию топологии, и не использовать каких-либо криптографических методов для обеспечения аутентификации (проверки того, что данный BPDU послал тот, кто посылал их ранее). Использование для этой цели криптографических алгоритмов с открытым ключом мало поможет, так как вновь подключаемое устройство должно иметь возможнось переконфигурировать топологию. То, что в процессе реконфигурации кадры пользователей не должны передаваться, позволяет реализовать DoS, однако совершенно не влияет на работоспособность атаки MitM.

У этой проблемы есть несколько возможных (несколько - довольно практичных) решений, которые могли бы быть применены производителями сетевого оборудования. Ниже описываются возможные методы решения, часть из которых, разумеется, может по различным причинам показаться спорной.

Мы расположили варианты в порядке увеличения сложности их применения.




Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach