SecHard

10.2.2.1.6. STP Manipulation Attack / Manipulation Attack

Owned by Göktuğ Cihan
Last updated: Oct 05, 2023
2 min read

Bu saldırı Spanning Tree Protocol (STP) kullanır ve saldırgan doğrudan veya başka bir anahtar aracılığıyla anahtardaki bir bağlantı noktasına bağlanır. STP parametreleri, saldırganın görünmeyecek çeşitli çerçeveleri görmesine yardımcı olan bir kök köprünün durumuna ulaşmak için manipüle edilir.

STP saldırıları tipik olarak, Spanning-Tree Protokolünün yeniden hesaplanmasına neden olan ve saldırganın anahtarının Layer 2 ağının kök köprüsü haline gelmesini sağlayan tahrif edilmiş Köprü Protokolü Veri Birimleri bilgilerini enjekte ederek Layer 2 ağının kök köprüsünü değiştirmeye odaklanır. Bu gerçekleştiğinde, trafik saldırganın anahtarı üzerinden iletilir ve saldırganın paket yakalama gibi basit araçları kullanarak her türlü veriyi görüntülemesine olanak tanır.

BPDU Guard özelliği, bir BPDU alan PortFast etkinleştirilmiş tüm bağlantı noktalarını hata devre dışı durumuna geçirir. Arayüz hata devre dışı durumuna getirildikten sonra, yönetici tarafından manuel olarak etkinleştirilmelidir, bu da ek bir güvenlik katmanı ve geçersiz yapılandırmalara veya olası güvenlik koşullarına güvenli bir yanıt sağlar. Ayrıca, bu bağlantı noktalarına alınan üstün BPDU'lar artık alınmayana kadar bağlantı noktası bu durumda kalacaktır. 

Root Guard, yöneticilerin bir Katman 2 ağındaki kök anahtarın doğru yerleşimini tanımlamasına olanak tanıyan bir Cisco Catalyst anahtar özelliğidir. Root Guard özelliği, kök olmayan bağlantı noktaları olan tüm arabirimler üzerinde yapılandırılır. Bir Spanning-Tree Protokolü uygulamasında bir kök bağlantı noktası, anahtar üzerinde Spanning-Tree-anahtarlı etki alanının kök köprüsüne en yakın olan herhangi bir bağlantı noktasıdır. 

Tüm anahtar için global olarak veya arayüz bazında etkinleştirilebilen BPDU Guard özelliğinin aksine, Root Guard özelliği yalnızca arayüz bazında etkinleştirilebilir. Bu, spanning-tree guard root arayüz yapılandırma komutu aracılığıyla gerçekleştirilir.

Saldırgan, Layer 2 anahtarlamalı ağa erişim elde etmek için bir erişim bağlantı noktasına başka bir anahtar gibi yetkisiz bir ağ cihazı bağlamaya çalışır. BPDU Guard, bir BPDU alan PortFast için yapılandırılmış bir arabirimi hata ile devre dışı bırakacaktır. Saldırgan STP kök köprüsünü manipüle etmeye çalışır, böylece tüm trafik kendi anahtarına yönlendirilir. Root Guard, bu özelliğin etkin olduğu üstün BPDU'ları alan bir arayüzdeki tüm paketlerin iletilmesini engeller. Bu eylemleri kontrol için “spanning-tree guard root” ve  “spanning-tree bpdguard enable” komutları kullanılır.

 

spanning-tree guard root

spanning-tree bpduguard enable

SecHard