|
18. Эпилог
Хочется верить, что практически полное отсутствие в сетевых
протоколах 2-го уровня OSI средств аутентификации сущностей
административных протоколов, а также игнорирование других основ
построения безопасных систем (за исключением, разве что, концепции
VLAN-divided сетей), вызвано исключительно беспечностью авторов этих
протоколов, создававших их во времена, когда о безопасности почти не
беспокоились, а не результат "демократичности" законов США,
обязывающих оставлять черные ходы для сотрудников спецслужб.
18.1. Кратко: что можно сделать с помощью нецелевого применения STP?
- Злоумышленник может осуществить MitM-атаку (man-in-the-middle -
"человек посередине"), если его рабочая станция подключена двумя
или более интерфейсами к различным STP-совместимым устройствам,
например, коммутаторам (switches).
- Злоумышленник имеет возможность осуществить атаку на отказ в
обслуживании (DoS) даже если его рабочая станция имеет всего один
сетевой интерфейс, при условии, что функционирующие в сети
STP-совместимые устройства не поддерживают BPDU-guard или STP
portfast, а также в случае, если указанные возможности на этих
устройствах просто не задействованы.
- В случае, когда STP-совместимые устройства в сети поддерживают
STP portfast, злоумышленник может спровоцировать ситуацию, когда
STP-совместимый коммутатор (switch) переходит в режим концентратора
(hub), и прослушивать при помощи сетевого анализатора весь трафик
между узлами сети, подключенными к этому коммутатору. Эта атака
частично реализуема также и для случая с несколькими коммутаторами,
хотя расчеты немного усложнятся.
18.2. Кратко: чего нельзя сделать с помощью нецелевого применения STP?
- Невозможно организовать STP-MitM атаку, имея только один
сетевой интерфейс, но это становится возможным в случае, если этот
интерфейс подключить к концентратору, при этом поведение
STP-совместимого устройства неочевидно.
- Злоумышленник не может производить изменения в топологии сети,
будучи подключенным только к одному порту коммутатора, не
спровоцировав при этом отказ в обслуживании (DoS) для какой-либо
части сети. Злоумышленник не может реализовать изменения в
топологии, касающиеся некоторого сегмента сети, подключившись к
коммутатору, который имеет только одно соединение с этим сегментом,
не спровоцировав при этом отказ доступа к этому сегменту из той
части сети, которую затрагивают внесенные изменения.
- В ethernet технологии невозможно организовать MitM атаку с
рабочей станции злоумышленника для двух конечных узлов ЛВС до тех
пор, пока нет физического кольца между этими точками. Хорошим
примером будет случай двух обширных сетей, соединенных между собой
по единственному не дублируемому кабелю. В таком случае организовать
MitM между станциями в разных сетях невозможно без прокладки кабеля
для организации кольца. Такое кольцо может быть образовано самим
злоумышленником, если он имеет физический доступ к коммутаторам этой
сети и порты коммутатора по умолчанию включены (настройки по
умолчанию для всех известных авторам устройств).
|
|