Исследование особенностей организации работы отказоустойчивой сети. Виды, модификация и реализация протоколов STP. Описания атак, направленных на перехват информации и вызывающих отказ в обслуживании. Методы обнаружения и защиты от атак на протокол STP.
Аннотация к работе
Министерство образования и науки РФ ФГБОУ ВПО «Челябинский государственный университет» Институт информационных технологийСбой в работе активного модуля активирует резервный канал, для продолжения работы сети.Для своей работы протокол строит граф, создание которого начинается с корня (root). Каждое STP-совместимое (это могут быть коммутаторы, маршрутизаторы или другое оборудование, так как в терминах STP такие устройства называются мостами дальше мы будем использовать этот термин) устройство при включении считает себя корнем. Если BPDU получен от моста с меньшим Bridge ID то он перестает передавать информацию о том, что он корневой и начинает ретранслировать BPDU от моста с меньшим Bridge ID. Таким образом в конечном итоге только один мост остается корневым и продолжает передавать BPDU. Остальные мосты ретранслируют BPDU корневого моста, добавляя в них свой идентификатор и увеличивая счетчик стоимости пути.Так как протокол STP достаточно старый (его первая реализация была разработана в 1985 году), то естественно, что на данный момент имеется несколько различных его модификаций и реализаций. Rapid Spanning Tree Protocol (RSTP). Основное его отличие в том что роль заблокированного порта разделили на две - резервный корневой порт (alternate) и резервный назначенный порт (backup). Per-VLAN Spanning Tree (PVST) и Per-VLAN Spanning Tree Plus (PVST ). В эти протоколах есть несколько проприетарных усовершенствований Cisco основное из которых состоит в том, что позволяет порту быть разблокированным для одних Virtual Local Area Network (VLAN) и заблокированным для других.Так как протокол STP работает на канальном уровне, для успешного осуществления атак злоумышленнику необходимо иметь доступ к сети изнутри. Из того что протокол STP, как упоминалось ранее, работает на канальном уровне и не предусматривает фильтрации BPDU по каналу с которого оно получено (ведь получение BPDU само по себе является событием протокола), следует, что граничные условия фильтрации пакетов к нему не применимы. Для успешного выполнения этой атаки, атакующий с помощью сетевого анализатора перехватывает BDPU от текущего корневого моста, после чего посылает свой BPDU c bridge id на единицу меньше. В итоге сеть постоянно находится в процессе выбора и порты не перейдут в состояние пересылки пакетов, пока будет продолжаться генерация BPDU вызывающих выборы. Если на одном из мостов установлен bridge id равный нулю, то атака DOS может быть реализована только на той части сети, к которой подключен атакующий.Эта атака возможна, когда в сети как минимум два STP-устройства, причем жертвы атаки, трафик между которыми надо перехватить, подключены к разным мостам. Суть данной атаки сводится к тому, чтобы изменить структуру сети таким образом что интересующий атакующего трафик пойдет через его станцию.Сложность обнаружения STP атак состоит в том, что для атак используются стандартные для STP протокола пакеты BPDU. Так же особенностью STP атак является то, что атака идет на топологию сети и нарушает ее работоспособность, а значит IDS необходимо иметь резервный канал связи для отправки сообщения об атаке ответственному за безопасность лицу. Если в рассматриваемой сети нет устройств поддерживающих STP, либо поддержка STP отключена, то обнаружение в сети STP пакетов позволяет однозначно идентифицировать STP атаку. Если в сети известное количество устройств поддерживающих STP и сеть не подключена к другим сетям, в которых есть STP-устройства, и обнаружены STP пакеты с root или bridge ID отличные от имеющихся устройств то происходит STP атака. Если в сети есть известное количество STP-устройств и известно количество новых устройств, которые могут одновременно появиться в сети, то можно выявить STP атаку по длительности STP выборов.Что бы осуществить большую часть рассмотренных атак, атакующий должен отправлять BPDU пакеты на порт STP-устройства, к которому у него есть доступ. Следовательно, осуществление этих атак становиться невозможной, если ограничить доступ к STP-портам.В ходе выполнения этой работы стало понятно что полностью защититься от атак на протокол STP, представляется маловероятным.