Protection contre la manipulation du STP
La manipulation du Spanning Tree est une attaque qui cherche à altérer le fonctionnement normal du STP dans un réseau. Cette altération peut perturber le réseau, créer des boucles de réseau et provoquer une panne du réseau. Par ailleurs, un attaquant pourrait, par exemple, introduire un switch configuré avec un Bridge ID plus bas dans le réseau. Ce switch serait alors élu comme root bridge. Tout le trafic du réseau serait alors acheminé via ce switch, permettant à l’attaquant d’intercepter ou de manipuler les données.
Cisco fournit plusieurs mécanismes pour protéger le réseau contre la manipulation de STP. Deux de ces mécanismes sont BPDU Guard et Root Guard. Ce dernier n’est utile que si vous ne contrôlez qu’une partie de votre réseau et que l’attaque pourrait parvenir d’un trunk.
- BPDU Guard : BPDU Guard est une fonctionnalité qui désactive un port si des BPDUs sont reçus sur ce port. Cela empêche un appareil malveillant de perturber la topologie du réseau. BPDU Guard est généralement utilisé sur les ports où vous ne vous attendez pas à recevoir de BPDUs, c’est àdire des ports d’accès.
- Root Guard : Root Guard est une fonction de sécurité qui empêche un port de devenir la racine du réseau STP. Cette fonctionnalité empêche un switch malveillant de devenir le root bridge. Root Guard est utilisé sur les ports où vous attendez des BPDUs, mais vous ne voulez pas que le switch à l’autre extrémité devienne le Root Bridge.
Pour configurer le BPDU Guard
Switch(config-if)# spanning-tree bpduguard enable
Pour utiliser cette commande
- Entrez dans le mode configuration d’interfaces
- L’interface doit être configurée en mode accès.
- Tapez
spanning-tree bpduguard enablepour activer la protection sur une interface réseau.
Exemple d’utilisation de la commande
Switch> enable
Switch# configure terminal
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# spanning-tree bpduguard enable
Switch(config-if)# endPour configurer le Root Guard
Switch(config-if)# spanning-tree guard root
Pour utiliser cette commande
- Entrez dans le mode configuration d’interfaces
- Tapez
spanning-tree guard rootpour activer la protection sur une interface réseau.
Exemple d’utilisation de la commande
Switch> enable
Switch# configure terminal
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# spanning-tree guard root
Switch(config-if)# end