Keamanan Jaringan pada Spanning Tree Protocol (STP) Artikel membahas Keamanan Jaringan pada Spanning Tree Protocol (STP). Spanning Tree Protocol (STP) adalah lapisan 2 protokol manajemen link.
Artikel membahas Keamanan Jaringan pada Spanning Tree Protocol (STP). Spanning Tree Protocol (STP) adalah lapisan 2 protokol manajemen link. Tujuan utama dari STP adalah untuk memastikan bahwa tidak ada loop aliran data ketika jaringan memiliki jalur berlebihan.
Umumnya, jalur berlebihan dibangun untuk memberikan kehandalan ke jaringan. Tapi mereka bisa membentuk loop mematikan yang dapat menyebabkan serangan DoS dalam jaringan.
Spanning Tree Protocol
Dalam rangka memberikan jalan redundansi yang diinginkan, serta untuk menghindari kondisi loop, STP mendefinisikan sebuah pohon yang mencakup semua switch dalam jaringan. STP memaksa link data yang berlebihan tertentu ke dalam keadaan diblokir dan membuat link lainnya dalam keadaan forwarding.
Jika link dalam kondisi forwarding rusak, STP mengkonfigurasi ulang jaringan dan mengubah jalur data dengan mengaktifkan jalur standby yang sesuai. STP berjalan pada bridge dan switch digunakan dalam jaringan. Semua switch bertukar informasi untuk seleksi root switch dan untuk konfigurasi selanjutnya dari jaringan. Bridge Protocol Data Units (BPDU) membawa informasi ini. Melalui pertukaran BPDU, semua switch dalam jaringan memilih akar jembatan / switch yang menjadi titik fokus dalam jaringan dan mengontrol link diblokir dan diteruskan.
Serangan pada STP
- Mengambil alih root Bridges. Ini adalah salah satu jenis yang paling mengganggu dari attack pada lapisan 2. Secara default, switch LAN mengambil setiap BPDU dikirim dari berdekatan beralih pada nilai nominal. Kebetulan, STP adalah trustfull, stateless, dan tidak menyediakan mekanisme otentikasi suara.
- Setelah di modus serangan root, saklar menyerang mengirimkan BPDU setiap 2 detik dengan prioritas yang sama dengan jembatan akar saat ini, tetapi dengan alamat MAC sedikit numerik lebih rendah, yang menjamin kemenangannya dalam proses pemilihan root-bridge. Switch penyerang bisa meluncurkan attack DoS baik dengan tidak benar mengakui switch lain menyebabkan BPDU banjir atau dengan menundukkan switch untuk over-proses BPDU dengan mengaku menjadi root pada satu waktu dan mencabut secara berurutan.
- DoS menggunakan Flood Konfigurasi BPDU. Switch menyerang tidak berusaha untuk mengambil alih sebagai root. Sebaliknya, itu menghasilkan sejumlah besar BPDU per detik yang mengarah ke sangat tinggi utilisasi CPU pada switch.
Pencegahan Serangan Pada STP
Untungnya, penanggulangan serangan root take over sederhana dan mudah. Dua fitur membantu dalam mengalahkan serangan root take over.
- Root Guard − root guard membatasi port switch dari mana root bridge dapat dinegosiasikan. Jika 'root-guard-enabled' Port menerima BPDU yang lebih unggul dengan yang root bridge saat mengirimkan, maka port yang pindah ke kondisi root-inkonsisten, dan tidak ada lalu lintas data diteruskan menyeberangi Port itu. Root Guard terbaik dikerahkan menuju port yang terhubung ke switch yang tidak diharapkan untuk mengambil alih sebagai jembatan root.
- BPDU-Guard − BPDU-guard digunakan untuk melindungi jaringan dari masalah yang mungkin disebabkan oleh penerimaan BPDU pada port akses. Ini adalah port yang tidak boleh menerima mereka. BPDU-guard yang terbaik dikerahkan menuju port yang dilihat pengguna untuk mencegah penyisipan switch nakal oleh penyerang.
COMMENTS