Vídeo: Switches ArubaOS – Protegendo o Spanning-Tree

O protocolo Spanning-Tree é bastante vulnerável a ataques pela simplicidade de sua arquitetura e falta de mecanismos de autenticação. O protocolo STP não impede em sua arquitetura que um novo switch adicionado à rede seja configurado erradamente com a prioridade 0 (zero) e que dessa forma possa tomar o lugar do switch root, ocasionando uma nova convergência da LAN para a topologia a partir do novo Switch Root.

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Guard, BPDU Protection (BPDU guard) com STP admin-edged-port (portfast) e loop guard.

Switches ArubaOS – BPDU Protection

O BPDU Protection é um recurso de segurança projetado para proteger a topologia do STP impedindo que pacotes BPDU não esperados/planejados entrem no domínio STP.

Em uma implementação típica, a proteção BPDU seria aplicada a portas conectadas a dispositivos de usuário final que não executam STP. Se os pacotes STP BPDU forem recebidos em uma porta protegida, o recurso desabilitará essa porta e alertará o gerenciador de rede por meio de um trap SNMP.

Configuração

  1. Habilitar o BPDU Guard na interface A4 do switch e configurar timeout do BPDU para 60s.
spanning-tree A4 bpdu-protection
spanning-tree bpdu-protection-timeout 60
spanning-tree trap errant-bpdu

Conectar um notebook na porta A4 e verificar que a porta fica em forwarding.

  HP-5406zl(config)# show spanning-tree | i A4
BPDU Protected Ports : A4    
A4     100/1000T  | 20000     128  Forwarding   | c09134-eeec00 2    Yes No 
  • Conectando um switch de acesso no lugar do notebook na porta A4 e validando o bloqueio da porta
  HP-5406zl(config)# show spanning-tree | i A4
  BPDU Protected Ports : A4                                    
   A4     100/1000T  | 20000     128  BpduError   | 2    Yes No 
  • Remover o switch e conectar o notebook na porta A4. A porta deve retornar a forwarding após o timeout do BPDU configurado.

No log temos a indicação da porta desabilitando ao receber um BPDU. Em um segundo momento, após desconectar o switch de acesso e conectar o notebook) a porta voltou após o timeout configurado:

W 11/05/22 18:12:34 00840 stp: port A4 disabled - BPDU received on protected port.
I 11/05/22 18:12:34 00898 ports: BPDU protect(5) has disabled port A4 for 60  seconds
I 11/05/15 18:12:34 00077 ports: port A4 is now off-line
I 11/05/22 18:13:34 00900 ports: port A4 timer (5) has expired
I 11/05/22 18:13:38 00435 ports: port A4 is Blocked by STP
I 11/05/22 18:13:41 00076 ports: port A4 is now on-line

Vídeo: Configurando BPDU Protection

Nesse vídeo mostramos a configuração e logs dos Switches com a utilização do comando ‘BPDU-Protection’.

A feature edged-port (portfast) permite a interface saltar os estados Listening e Learning do Spanning-Tree Protocol (STP), colocando as portas imediatamente em estado Forwarding (Encaminhamento). A configuração do ‘stp edged-port enable’ força a interface a ignorar os estados de convergência do STP, incluindo as mensagens de notificação de mudança na topologia (mensagens TCN ).

A utilização da feature ‘edged-port’ com a configuração do comando ‘stp bpdu-protection’, protege as portas configuradas como edged-port de receberem BPDUs. Ao receber um BPDU a porta entrará em shutdown.

Até o próximo vídeo!

Vídeo: STP edged-port + BPDU-protection

A feature edged-port permite a interface saltar os estados Listening e Learning do Spanning-Tree Protocol (STP), colocando as portas imediatamente em estado Forwarding (Encaminhamento). A configuração do stp edged-port enableforça a interface a ignorar os estados de convergência do STP, incluíndo as mensagens de notificação de mudança na topologia (mensagens TCN ).

A utilização da feature edged-port com a configuração do comando stp bpdu-protection, protege as portas configuradas como edged-port de receberem BPDUs. Ao receber um BPDU a porta entrará em shutdown.

Valeuu!