Spanning Tree Protokolü(STP)
Karmaşık ağ topolojilerinde Switch?in, birbiriyle haberleşmesi sırasında meydana gelebilecek loop?ları engelleyen bir Katman 2 protokolü. STP, döngüleri engellemek için switch üzerinde bulunan bazı portları bloke etmektedir. Switchler, port durumunu değiştirecek STP bilgilerini Bridge Protocol Data Unit aracılığıyla paylaşır.
Tüm Katman 2 cihazları birbirleriyle Bridge Protocol Data Unit(BPDU) adı verilen özel frame aracılığıyla haberleşir. Çerçeveler, döngülerin oluşmasını engeller ve bunu sürekli kılacak gerekli parametreleri içerir (root switch ID, gönderen switch ID, root switch?e uzaklık). BPDU çerçeveleri root olarak seçilen switchten 2sin?de(varsayılan hello time süresidir) bir diğer switchlere gönderilir.
Bpdu paketinde bridge id, mac adresi, port id gibi bilgiler bulunur. Bridge id?si en düşük cihaz ortamda Root Bridge olarak atanır.
Tüm cihazların Bridge id si aynı ise mac adresi küçük olan root bridge olarak seçilir. Network üzerindeki diğer switch root bridge seçilen switch?e en yakın yolu açık tutar. Bu kıstaslar network yolunun mesafesi, hop sayısı ve gidilen yolun bant genişliği olur. Bu hesaplama biçimine cost denilir.
STP MaNipülasyon Örneği
Saldırgan bilgisayarında root bridge olarak STP'yi manipüle eder. Böylece domainde bulunan tüm trafiği üzerinden geçirir. Bu saldırı güvenliğin üç konusu (gizlilik, bütünlük ve kullanılabilirlik) bozulabilir.
Saldırgan host STP hesaplamasını yeniden yapmaya zorlamak için STP?i ve BPDU?ları değiştirir. Saldırgan hostun düşük değerli bir bridge ID?si yayınlamasıyla işlem yapılır bu sayede host root bridge olarak seçilir.
Başarılı olursa saldırgan host root bridge olup ,erişemediği tüm framelere erişmiş olmasıyla işlem sonlanır.
STP Manipülasyon Saldırıları Azaltma
STP saldırılarını azaltmak için aşağıdaki işlemler switch üzerinde enable edilmeli;
PortFast
Root guard
BPDU guard
Karmaşık ağ topolojilerinde Switch?in, birbiriyle haberleşmesi sırasında meydana gelebilecek loop?ları engelleyen bir Katman 2 protokolü. STP, döngüleri engellemek için switch üzerinde bulunan bazı portları bloke etmektedir. Switchler, port durumunu değiştirecek STP bilgilerini Bridge Protocol Data Unit aracılığıyla paylaşır.
Tüm Katman 2 cihazları birbirleriyle Bridge Protocol Data Unit(BPDU) adı verilen özel frame aracılığıyla haberleşir. Çerçeveler, döngülerin oluşmasını engeller ve bunu sürekli kılacak gerekli parametreleri içerir (root switch ID, gönderen switch ID, root switch?e uzaklık). BPDU çerçeveleri root olarak seçilen switchten 2sin?de(varsayılan hello time süresidir) bir diğer switchlere gönderilir.
Bpdu paketinde bridge id, mac adresi, port id gibi bilgiler bulunur. Bridge id?si en düşük cihaz ortamda Root Bridge olarak atanır.
Tüm cihazların Bridge id si aynı ise mac adresi küçük olan root bridge olarak seçilir. Network üzerindeki diğer switch root bridge seçilen switch?e en yakın yolu açık tutar. Bu kıstaslar network yolunun mesafesi, hop sayısı ve gidilen yolun bant genişliği olur. Bu hesaplama biçimine cost denilir.
STP MaNipülasyon Örneği
Saldırgan bilgisayarında root bridge olarak STP'yi manipüle eder. Böylece domainde bulunan tüm trafiği üzerinden geçirir. Bu saldırı güvenliğin üç konusu (gizlilik, bütünlük ve kullanılabilirlik) bozulabilir.
Saldırgan host STP hesaplamasını yeniden yapmaya zorlamak için STP?i ve BPDU?ları değiştirir. Saldırgan hostun düşük değerli bir bridge ID?si yayınlamasıyla işlem yapılır bu sayede host root bridge olarak seçilir.
Başarılı olursa saldırgan host root bridge olup ,erişemediği tüm framelere erişmiş olmasıyla işlem sonlanır.
STP Manipülasyon Saldırıları Azaltma
STP saldırılarını azaltmak için aşağıdaki işlemler switch üzerinde enable edilmeli;
PortFast
Root guard
BPDU guard