информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Сетевые кракеры и правда о деле ЛевинаАтака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Tailscale окончательно забанила... 
 Прекращение работы антивируса Касперского... 
 Microsoft Authenticator теряет... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / spanning tree / эпилог
SPANNING TREE
титул
содержание
введение в spanning tree протокол
STP & VLANs
STP в гетерогенных средах
замечания, вытекающие из анализа RFC 2878
комментарии к написанию кода
возможные схемы атак
получение дополнительной информации о сети
особенности реализации у различных производителей
замечания по поводу Linux bridging project
замечания по поводу GARP и GVRP
обзор атак на 2 уровне OSI
уязвимые продукты
примеры уязвимых сетей
как администраторы могут противостоять атакам
как IDS могут обнаружить STP атаки
корни проблемы, или "откуда ноги растут"
что делать производителям
эпилог
благодарности
ссылки
список литературы
глоссарий
программа формирования ST пакетов
сценарий для запуска программы




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




18. Эпилог

Хочется верить, что практически полное отсутствие в сетевых протоколах 2-го уровня OSI средств аутентификации сущностей административных протоколов, а также игнорирование других основ построения безопасных систем (за исключением, разве что, концепции VLAN-divided сетей), вызвано исключительно беспечностью авторов этих протоколов, создававших их во времена, когда о безопасности почти не беспокоились, а не результат "демократичности" законов США, обязывающих оставлять черные ходы для сотрудников спецслужб.

18.1. Кратко: что можно сделать с помощью нецелевого применения STP?

  1. Злоумышленник может осуществить MitM-атаку (man-in-the-middle - "человек посередине"), если его рабочая станция подключена двумя или более интерфейсами к различным STP-совместимым устройствам, например, коммутаторам (switches).
  2. Злоумышленник имеет возможность осуществить атаку на отказ в обслуживании (DoS) даже если его рабочая станция имеет всего один сетевой интерфейс, при условии, что функционирующие в сети STP-совместимые устройства не поддерживают BPDU-guard или STP portfast, а также в случае, если указанные возможности на этих устройствах просто не задействованы.
  3. В случае, когда STP-совместимые устройства в сети поддерживают STP portfast, злоумышленник может спровоцировать ситуацию, когда STP-совместимый коммутатор (switch) переходит в режим концентратора (hub), и прослушивать при помощи сетевого анализатора весь трафик между узлами сети, подключенными к этому коммутатору. Эта атака частично реализуема также и для случая с несколькими коммутаторами, хотя расчеты немного усложнятся.

18.2. Кратко: чего нельзя сделать с помощью нецелевого применения STP?

  1. Невозможно организовать STP-MitM атаку, имея только один сетевой интерфейс, но это становится возможным в случае, если этот интерфейс подключить к концентратору, при этом поведение STP-совместимого устройства неочевидно.
  2. Злоумышленник не может производить изменения в топологии сети, будучи подключенным только к одному порту коммутатора, не спровоцировав при этом отказ в обслуживании (DoS) для какой-либо части сети. Злоумышленник не может реализовать изменения в топологии, касающиеся некоторого сегмента сети, подключившись к коммутатору, который имеет только одно соединение с этим сегментом, не спровоцировав при этом отказ доступа к этому сегменту из той части сети, которую затрагивают внесенные изменения.
  3. В ethernet технологии невозможно организовать MitM атаку с рабочей станции злоумышленника для двух конечных узлов ЛВС до тех пор, пока нет физического кольца между этими точками. Хорошим примером будет случай двух обширных сетей, соединенных между собой по единственному не дублируемому кабелю. В таком случае организовать MitM между станциями в разных сетях невозможно без прокладки кабеля для организации кольца. Такое кольцо может быть образовано самим злоумышленником, если он имеет физический доступ к коммутаторам этой сети и порты коммутатора по умолчанию включены (настройки по умолчанию для всех известных авторам устройств).




Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach