Протокол STP. Методы атак и защиты

Размещено на http://www.allbest.ru/

Министерство образования и науки РФ

ФГБОУ ВПО «Челябинский государственный университет»

Институт информационных технологий

Кафедра информационных технологий

Реферат

Протокол STP. Методы атак и защиты.

Выполнил Кузнецов Д.Г.

Научный руководитель: Косенко М.Ю.

Челябинск 2014

Содержание

Введение

I. Протокол STP

1.1 Протокол STP

1.2 Виды протоколов STP

II. Способы атак на протокол STP

2.1 Атаки вызывающие отказ в обслуживании

2.2 Атаки направленные на перехват информации

III. Методы защиты от атак на протокол STP

3.1 Методы обнаружения атак

3.2 Методы защиты

Заключение

Список литературы

Введение

При построении отказоустойчивой сети необходимо предусмотреть избыточные каналы связи. Сбой в работе активного модуля активирует резервный канал, для продолжения работы сети. Для того, что бы при применении резервных каналов в сети не образовывались петли, применяется Spanning Tree Protocol (протокол STP).

В организации работы сети, большое внимание следует уделить безопасности. Поэтому необходимо изучить протокол STP, выявить возможные способы атак, использующие уязвимости STP и описать методы обнаружения атак и защиты от них.

I. Протокол STP

1.1 Протокол STP

Протокол STP основан на алгоритме, разработанном Радьей Перлман. Первоначальный протокол описан в стандарте IEEE 802.1d и относится ко второму уровню модели OSI. Он автоматически удаляет петли коммутации из топологии сети в Ethernet. Позже появились несколько новых протоколов отличающихся разными особенностями, но в целом решающих ту же задачу, теми же способами. Все их принято называть STP протоколами.

Для своей работы протокол строит граф, создание которого начинается с корня (root). Каждое STP-совместимое (это могут быть коммутаторы, маршрутизаторы или другое оборудование, так как в терминах STP такие устройства называются мостами дальше мы будем использовать этот термин) устройство при включении считает себя корнем. При этом оно посылает специальные блоки данных -- Bridge Protocol Data Units (BPDU) с периодичностью раз в 2 секунды. Получив BPDU от другого устройства, мост сравнивает полученные параметры со своими. Если BPDU получен от моста с меньшим Bridge ID то он перестаёт передавать информацию о том, что он корневой и начинает ретранслировать BPDU от моста с меньшим Bridge ID. Таким образом в конечном итоге только один мост остаётся корневым и продолжает передавать BPDU. Остальные мосты ретранслируют BPDU корневого моста, добавляя в них свой идентификатор и увеличивая счётчик стоимости пути. После этого, для каждого моста, отличного от корневого, просчитывается кратчайший путь к коневому. Учитывается количество посредников и скорость линий. Соответствующий порт назначается корневым портом (Root Port). Все прочие сетевые порты, ведущие к корневому мосту блокируются. Корневой порт на мосте может быть только один. После этого, для каждого сегмента сети, рассчитывается кратчайший путь до корневого моста. Мост, через который проходит этот путь называется назначенным мостом (Designated Bridge) а его соответствующий порт -- назначенным портом (Designated port).

Так как BPDU - это основная единица обмена информации в протоколе STP, следует рассмотреть его подробнее.

Пакет BPDU состоит из большого количества полей, рассмотрим важнейшие из них:

· Идентификатор моста (Bridge Identifier - BID). Состоит из MAC адреса и приоритета, описывает мост, через который прошёл пакет BPDU. Имеет размер 8 байт.

· Идентификатор корневого моста (Root Bridge Identifier - RBID). То же самое что и BID, только характеризует корневой мост и передаётся неизменным в отдельном поле пакета BPDU.

· Расстояние до корня (Root Patch Cost - RPC). В этом поле описывается расстояние до корневого моста в условных единицах по конкретному пути.

· Время жизни (Message Age). Служит для выявления устаревших пакетов. Корневой мост выпускает пакет BPDU со временем жизни равным нулю. Каждый мост передающий BDPU дальше увеличивает время жизни на единицу.

· Максимальное время жизни сообщения (Max Age). Если пакет BPDU имеет время жизни превышающее этот параметр, то пакет игнорируется.

· Время приветствия (Hello Time). Временной интервал, через который посылаются пакеты BPDU.

1.2 Виды протокола STP

Так как протокол STP достаточно старый (его первая реализация была разработана в 1985 году), то естественно, что на данный момент имеется несколько различных его модификаций и реализаций. Рассмотрим основные из них. Rapid Spanning Tree Protocol (RSTP). Новый стандарт протокола STP представленный IEEE в 2001 году. Так же обозначается как 802.1w. Основное его отличие в том что роль заблокированного порта разделили на две -- резервный корневой порт (alternate) и резервный назначенный порт (backup). За счёт такого подхода достигается быстрое переключение в случае отказа. Это изменяет всю концепцию системы в целом -- вместо реактивной (которая начинает искать путь решения проблемы уже после того как она случилась) она становится проактивной (решения проблемы подготовлены заранее). Per-VLAN Spanning Tree (PVST) и Per-VLAN Spanning Tree Plus (PVST+). Это два проприетарных протокола компании Cisco Systems, которые отличаются тем что PVST использует ISL а PVST+ 802.1Q. Существует два вида протокола PVST+:

- PVST+ - основанный на протоколе STP

- Rapid PVST+ - основан на протоколе RSTP

В эти протоколах есть несколько проприетарных усовершенствований Cisco основное из которых состоит в том, что позволяет порту быть разблокированным для одних Virtual Local Area Network (VLAN) и заблокированным для других. То есть эти протоколы возможно использовать в сетях с несколькими VLAN. Для каждой VLAN строится своя топология.

Multi Spanning Tree Protocol (MSTP).

MSTP описан в стандарте IEEE 802.1s (впоследствии включён в 802.1Q-2003). Главная особенность протокола в том, что в один экземпляр MSTP может входить несколько VLAN, если их топология одинакова (в смысле входящих в VLAN STP-устройств и соединений между ними). Минимальное количество экземпляров MSTP соответствует количеству уникальных топологически групп VLAN в домене второго уровня. Таким образом все STP-устройства, входящие в MSTP, должны иметь одинаково сконфигурированные группы VLAN, что ограничивает гибкость при изменении сети.

II. Способы атак на протокол STP

2.1 Атаки вызывающие отказ в обслуживании

сеть атака протокол защита

Так как протокол STP работает на канальном уровне, для успешного осуществления атак злоумышленнику необходимо иметь доступ к сети изнутри.

Рассмотрим возможные способы атак проистекающих из особенностей протокола.

Атака с подменой BPDU (BPDU-spooffing).

Из того что протокол STP, как упоминалось ранее, работает на канальном уровне и не предусматривает фильтрации BPDU по каналу с которого оно получено (ведь получение BPDU само по себе является событием протокола), следует, что граничные условия фильтрации пакетов к нему не применимы. Фильтрация пакетов совместимым STP-устройством невозможна, так как путь пакета не может содержать промежуточное устройство. Следовательно при подделке параметров STP пакета и адресов в MAC фрейме нет возможности отличить поддельные пакеты от настоящих.

Атака с постоянным перебором bridge id (вечные выборы).

Для успешного выполнения этой атаки, атакующий с помощью сетевого анализатора перехватывает BDPU от текущего корневого моста, после чего посылает свой BPDU c bridge id на единицу меньше. Таким образом он начинает процесс выборов корневого моста. Потом посылается BPDU с идентификатором моста на единицу меньше прошлого. При достижении минимального значения, атакующий ожидает пока оно не устареет из-за паузы, а затем начинает всё с начала. В итоге сеть постоянно находится в процессе выбора и порты не перейдут в состояние пересылки пакетов, пока будет продолжаться генерация BPDU вызывающих выборы.

Атака с исчезновением корневого моста. Эта атака похожа на предыдущую, но проще в реализации. Суть её в том, что атакующий сразу начинает посылать пакеты с минимально возможным bridge id. Периодически он перестаёт посылать конфигурационные пакеты, для того чтобы значение назначенного корня устарела, а затем вновь возобновляет. При этом способе атаке не требуется знать bridge id корневого моста. Если на одном из мостов установлен bridge id равный нулю, то атака DoS может быть реализована только на той части сети, к которой подключен атакующий. В этом случае ситуация когда два устройства имеют одинаковый bridge id может быть воспринята как петля и STP отключит либо порт атакующего либо другой порт. Зависеть это будет от соотношения номера порта атакующего и номера порта к которому подключена атакуемая часть сети.

Атака по алгоритму слияние-расхождение деревьев STP.

Эта атака возможна в сети с поддержкой VLAN. Если атакующей свяжет две VLAN и начнёт пересылать BPDU из одной сети в другую, то деревья STP увидят друг друга, и инициализируется выбор корневого моста. После окончания выборов, связь разрывается и выборы начинаются снова.

Атака путём фильтрации BPDU.

Суть этой атаки в том, что атакующий создаёт петлю между двумя STP-устройствами и фильтрует на этом сегменте все BPDU пакеты, не влияя на остальной трафик. Таким образом, основное назначение STP протокола выполнятся не будет.

2.2 Атаки направленные на перехват информации

Атака с навязыванием ложного маршрута или «человек посередине» (Man in the Middle - MitM).

Эта атака возможна, когда в сети как минимум два STP-устройства, причём жертвы атаки, трафик между которыми надо перехватить, подключены к разным мостам. Суть данной атаки сводится к тому, чтобы изменить структуру сети таким образом что интересующий атакующего трафик пойдёт через его станцию. Для этого станция атакующего должна быть оснащена двумя сетевыми интерфейсами. Один из них подключается к одному сегменту сети, а второй к другому. Атакующий посылает BPDU пакеты инициирующие выборы назначенного моста для каждого сегмента и выигрывает их. Тогда существующий канал между двумя сегментами выключается и весь трафик идёт через станцию атакующего. Если эта атака будет производится на мосты, которые не являются соседними, то атакующему будет необходимо подобрать значения root id.

III. Методы защиты от атак на протокол STP

3.1 Методы обнаружения атак

Для обнаружения атак на сеть используют Систему Обнаружения Вторжений (Intrusion Detection System - IDS). Использование таких систем обеспечивает дополнительный уровень защиты информационных систем.

Сложность обнаружения STP атак состоит в том, что для атак используются стандартные для STP протокола пакеты BPDU. Так же особенностью STP атак является то, что атака идёт на топологию сети и нарушает её работоспособность, а значит IDS необходимо иметь резервный канал связи для отправки сообщения об атаке ответственному за безопасность лицу.

Рассмотрим поподробнее варианты обнаружения STP атак.

Вариант обнаружения по наличию STP пакетов.

Если в рассматриваемой сети нет устройств поддерживающих STP, либо поддержка STP отключена, то обнаружение в сети STP пакетов позволяет однозначно идентифицировать STP атаку. Для того чтобы IDS могла использовать этот метод необходимо внести в её конфигурацию информацию об отсутствие в сети STP-устройств.

Обнаружение по root или bridge ID.

Если в сети известное количество устройств поддерживающих STP и сеть не подключена к другим сетям, в которых есть STP-устройства, и обнаружены STP пакеты с root или bridge ID отличные от имеющихся устройств то происходит STP атака. Для этого метода в конфигурацию IDS необходимо внести информацию о всех возможных bridge ID в системе. Недостатком этого метода является то, что невозможно подключить новое STP-устройство с автоматическим вводом в сеть.

Вариант обнаружения по длительности STP выборов. Если в сети есть известное количество STP-устройств и известно количество новых устройств, которые могут одновременно появиться в сети, то можно выявить STP атаку по длительности STP выборов. Для этого необходимо рассчитать время, за которое STP выборы в сети должны пройти. Это можно сделать исходя из количества STP-устройств в сети и количества возможных новых устройств.

Вариант обнаружения по монотонности.

Если за определённый период времени bridge ID, designated root ID или designated bridge ID монотонно убывают, с большой вероятностью происходит STP атака. Для использования этого метода в IDS необходимо внести диапазон изменения ID или период времени за который эти значения могут убывать.

Вариант обнаружения по цикличности.

Если за определённый период времени bridge ID, designated root ID или designated bridge ID постоянно циклически меняются, то возможно происходит STP атака. Для использования этого метода в конфигурацию IDS необходимо внести период времени, за который эти значения ID могут меняться. Вариант обнаружения по потере производительности.

Если пропускная способность сети резко снизилась, то это может быть STP атакой. Следует пояснить, что пропускная способность сети зависит от многих непостоянных параметров, таких как количество одновременно работающих пользователей и объём одновременно передаваемых данных. Это значительно затрудняет определение атаки средствами IDS, так так необходимо экспериментально выяснить и задать в конфигурацию IDS параметры, определяющие возможные изменения скорости работы сети.

Вариант обнаружения по изменению интервалов между STP событиями. Для использования этого метода необходимо на всех STP-устройствах все параметры установить в одинаковые значения. В таком случае если вне графика заданных временных интервалов будет обнаружено STP событие то это позволит однозначно идентифицировать STP атаку.

3.2 Методы защиты

Что бы осуществить большую часть рассмотренных атак, атакующий должен отправлять BPDU пакеты на порт STP-устройства, к которому у него есть доступ. Следовательно, осуществление этих атак становиться невозможной, если ограничить доступ к STP-портам. Это можно сделать, если заблокировать STP на портах доступа, защитить пользовательские порты и ограничить физический доступ к сетевому оборудованию. Однако ограничение физического доступа не всегда представляется возможным.

По возможности следует сегментировать STP. Так же следует выставить минимально возможный bridge ID. Это сделает приоритет STP-устройства максимально возможным.

Заключение

В данной работе рассматривался протокол STP, который был разработан достаточно давно и несмотря на то что свои задачи он решает достаточно хорошо, в некоторых аспектах он морально устарел. В ходе выполнения этой работы стало понятно что полностью защититься от атак на протокол STP, представляется маловероятным.

В настоящее время появились новые средства позволяющие решать задачи протокола STP. Это, в первую очередь, Shortest Path Bridging (SPB) стандартизированный IEEE как 802.1aq.

Список литературы

1. Олифер В. Компьютерные сети. Принципы , технологии, протоколы. Учебник для вузов / В. Олифер, Н. Олифер; Питер, 2014. - 960с.

2. Хант К. TCP/IP. Сетевое администрирование. К. Хант. - 1-е изд.: Символ-Плюс, 2010. - 816 с.

3. Артемьев О.К. , Мяснянкин В. В. Введение в недокументированное применение протокола Spanning Tree [Электронный ресурс] / О.К. Артемьев, В.В. Мяснянкин -- электронные текстовые дан. - 2001. - Режим доступа: https://bugtraq.ru/library/books/stp/chatper01/

Размещено на Allbest.ru