Mitigera ARP attacker Labb 24: 802.1x
STP är ett nätverksprotokoll som förhindrar loopar samtidigt som det tillåter redundanta vägar i nätverket. För att skydda mot STP-attacker är det viktigt att använda säkerhetsåtgärder som PortFast och BPDU Guard, som förhindrar att nätverkets struktur manipuleras av obehöriga.
- PortFast: När en switchport är konfigurerad med PortFast går porten direkt från blocking till forwarding-läge, utan att vänta på de vanliga STP-stegen (Listening och Learning). Detta gör att anslutna enheter, som DHCP-klienter, får snabb åtkomst till nätverket. PortFast bör bara användas på access-portar.
- BPDU Guard: BPDU Guard stänger omedelbart av en port som tar emot en BPDU, vilket skyddar mot försök att lägga till obehöriga switchar. BPDU Guard bör endast användas på portar som är anslutna till slutenheter där inga BPDUs ska förekomma.
I figuren bör åtkomstportarna för S1 konfigureras med PortFast och BPDU Guard.
Konfigurera PortFast
PortFast förbigår STP lyssnings- och inlärnings steg för att minimera väntetiden för åtkomstportar, vilket gör att enheter kan ansluta snabbare. Observera att om PortFast är aktiverat på en port som är ansluten till en annan switch, finns det risk för en spanning tree loop.
Så här aktiveras PortFast
Här nedan visas exemplet med några detaljer till. Observera att när PortFast är aktiverat visas varningsmeddelanden.
Konfigurera interface fa0/1 och aktivera PortFast:
S1(config)# interface fa0/1 S1(config-if)# switchport mode access S1(config-if)# spanning-tree portfast Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION %Portfast has been configured on FastEthernet0/1 but will only have effect when the interface is in a non-trunking mode. S1(config-if)# exit
Aktivera PortFast som standard på alla accessportar:
S1(config)# spanning-tree portfast default
%Warning: this command enables portfast by default on all interfaces. You
should now disable portfast explicitly on switched ports leading to hubs,
switches and bridges as they may create temporary bridging loops.
S1(config)# exit
Visa den aktuella konfigurationen för Spanning Tree:
S1# show running-config | begin span
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
!
interface FastEthernet0/1
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/2
!
(output omitted)
S1#
- För att verifiera om PortFast är aktiverat globalt, använd:
-
show running-config | begin span - eller
-
show spanning-tree summary
-
- För att kontrollera om PortFast är aktiverat på en specifik port, använd:
-
show running-config interface typ/nummer detail
-
Konfigurera BPDU Guard
Även med PortFast aktiverat lyssnar porten fortfarande efter BPDUs. Oväntade BPDUs kan bero på fel eller på försök att ansluta en obehörig switch. Om en port med BPDU Guard aktiverad tar emot en BPDU, går porten till ett fel-aktiverat tillstånd (err-disabled). Porten stängs då av och måste återaktiveras manuellt eller automatiskt med kommandot: errdisable recovery cause bpduguard
Aktivera BPDU Guard på en specifik port:
S1(config)# interface fa0/1 S1(config-if)# spanning-tree bpduguard enable S1(config-if)# exit
Gör BPDU Guard till standard för alla PortFast-portar:
S1(config)# spanning-tree portfast bpduguard default
S1(config)# end
Verifiera konfigurationen:
S1# show spanning-tree summary Switch is in pvst mode Root bridge for: none Extended system ID is enabled Portfast Default is enabled PortFast BPDU Guard Default is enabled Portfast BPDU Filter Default is disabled Loopguard Default is disabled EtherChannel misconfig guard is enabled UplinkFast is disabled BackboneFast is disabled Configured Pathcost method used is short (output omitted) S1#