Mitigar-ataques-STP
Mitigar-ataques-STP

Mitigar Ataques STP

PortFast e BPDU Guard

Lembre-se de que os invasores de rede podem manipular o Spanning Tree Protocol (STP) para conduzir um ataque falsificando a ponte raiz e alterando a topologia de uma rede. Para mitigar ataques de manipulação de Spanning Tree Protocol (STP), use PortFast e Bridge Protocol Data Unit (BPDU) Guard:

  • PortFast – PortFast imediatamente traz uma interface configurada como uma porta de acesso ou tronco para o estado de encaminhamento de um estado de bloqueio, ignorando os estados de escuta e aprendizagem. Aplicar a todas as portas do usuário final. O PortFast só deve ser configurado em portas conectadas a dispositivos finais.
  • Guarda BPDU – O erro de guarda BPDU desabilita imediatamente uma porta que recebe um BPDU. Como o PortFast, a proteção BPDU deve ser configurada apenas em interfaces conectadas a dispositivos finais.

Na figura, as portas de acesso para S1 devem ser configuradas com PortFast e BPDU Guard.

PortFast e BPDU Guard

Configurar PortFast

O PortFast ignora os estados de escuta e aprendizagem do STP para minimizar o tempo que as portas de acesso devem esperar para que o STP convirja. Se o PortFast estiver habilitado em uma porta conectada a outro switch, existe o risco de criar um loop de spanning tree.

O PortFast pode ser habilitado em uma interface usando o comando de configuração de interface spanning-tree portfast. Alternativamente, o Portfast pode ser configurado globalmente em todas as portas de acesso usando o comando de configuração global spanning-tree portfast default.

Para verificar se o PortFast está habilitado globalmente, você pode usar o comando show running-config | o comando begin span ou o comando show spanning-tree summary. Para verificar se o PortFast está habilitado em uma interface, use o comando show running-config interface type / number, conforme mostrado no exemplo a seguir. O comando show spanning-tree interface type / number detail também pode ser usado para verificação.

Observe que, quando o PortFast está ativado, mensagens de aviso são exibidas.

S1(config)# interface fa0/1
S1(config-if)# switchport mode access
S1(config-if)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
 host. Connecting hubs, concentrators, switches, bridges, etc... to this
 interface when portfast is enabled, can cause temporary bridging loops.
 Use with CAUTION
%Portfast has been configured on FastEthernet0/1 but will only
 have effect when the interface is in a non-trunking mode.
S1(config-if)# exit
S1(config)# spanning-tree portfast default
%Warning: this command enables portfast by default on all interfaces. You
 should now disable portfast explicitly on switched ports leading to hubs,
 switches and bridges as they may create temporary bridging loops.
S1(config)# exit
S1# show running-config | begin span
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
!
interface FastEthernet0/1
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
! 
(output omitted)
S1#

Configurar Guarda BPDU

Mesmo que o PortFast esteja ativado, a interface ainda escutará BPDUs. BPDUs inesperados podem ser acidentais ou parte de uma tentativa não autorizada de adicionar um switch à rede.

Se algum BPDU for recebido em uma porta habilitada para BPDU Guard, essa porta será colocada no estado desabilitado por erro. Isso significa que a porta foi desligada e deve ser reativada manualmente ou recuperada automaticamente por meio do comando global errdisable recovery cause psecure_violation.

O BPDU Guard pode ser habilitado em uma porta usando o comando de configuração de interface spanning-tree bpduguard enable. Como alternativa, use o comando de configuração global spanning-tree portfast bpduguard default para habilitar globalmente a proteção BPDU em todas as portas habilitadas para PortFast.

Para exibir informações sobre o estado da spanning tree, use o comando show spanning-tree summary. No exemplo, PortFast default e BPDU Guard são ambos habilitados como o estado padrão para portas configuradas como modo de acesso.

Nota: Sempre habilite o BPDU Guard em todas as portas habilitadas para PortFast.

S1(config)# interface fa0/1
S1(config-if)# spanning-tree bpduguard enable
S1(config-if)# exit
S1(config)# spanning-tree portfast bpduguard default
S1(config)# end
S1# show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID           is enabled
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled
Configured Pathcost method used is short
(output omitted)
S1#

Verificador de sintaxe – Mitigar ataques STP

Implementar PortFast e BPDU Guard para um switch com base na seguinte topologia e requisitos especificados

PortFast e BPDU Guard

No momento, você está conectado ao S1. Conclua as seguintes etapas para implementar PortFast e BPDU Guard em todas as portas de acesso:

  • Entre no modo de configuração da interface para fa0 / 1 – 24.
  • Configure as portas para o modo de acesso.
  • Retornar ao modo de configuração global.
  • Ative o PortFast por padrão para todas as portas de acesso.
  • Ative o BPDU Guard por padrão para todas as portas de acesso.
S1(config)#interface range fa0/1 - 24
S1(config-if-range)#switchport mode access
S1(config-if-range)#exit
S1(config)#spanning-tree portfast default
S1(config)#spanning-tree portfast bpduguard default
S1(config)# exit

Verifique se o PortFast e o BPDU Guard estão habilitados por padrão, exibindo as informações de resumo do STP.

S1#show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID           is enabled
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled
Configured Pathcost method used is short
(output omitted)
S1#

Você configurou e verificou com êxito o PortFast e o BPDU Guard para o switch.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

CCNA: Introdução às RedesCurso