spanning-tree, et si l'on se permettait un complément ?

Publié le 01 décembre 2011 par Orangebusinessservices

Le spanning-tree est un protocole encore très répandu, et cela bien que les constructeurs poussent maintenant l’ensemble de leurs clients à mettre en œuvre du routage de niveau 3 dès l’extrémité. En ce sens, l’article de mon collègue Pascal prend tout son intérêt car nous sommes encore loin de voir cette nouvelle architecture mise en œuvre systématiquement, et surtout pas dans les environnements ayant un historique lourd. C’est pourquoi il me semble important d’évoquer les possibilités existant désormais dans cette famille de protocole pour améliorer la stabilité du réseau.

Et c’est ici que nait la polémique entre bloggeurs ! Plutôt qu’une suppression pure et simple du spanning-tree, pas toujours possible, pourquoi ne pas regarder les options de sécurisation permettant de bloquer les attaques potentielles ?

L’une des attaques classiques sur le spanning-tree consiste à provoquer des recalculs permanents de l’arbre en envoyant des BPDU (éléments de configuration du SPT) sur le réseau. Cette technique provoquera une instabilité très importante et une consommation de ressource sur le commutateur lui-même. L’impact peut aller jusqu’à provoquer des drops de paquets par simple impossibilité de traitement.
 

 
La plupart des constructeurs de commutateurs ont désormais intégré une fonction souvent appelée « BPDU GUARD » qui permet de filtrer ces paquets sur les ports utilisateur. Ces derniers sont donc supprimés systématiquement lorsqu’ils sont détectés sur un port anormal, ce qui protège le châssis et l’ensemble du domaine de niveau 2. Le cas présenté dans le schéma précédent devient donc caduc.

Maintenant, en dehors de la théorie qui vient d’être présentée, pourquoi est-ce réellement important de penser à mettre en œuvre cette fonction ? Tout simplement parce que des outils permettant de réaliser cette attaque de façon simple existent – et cela sans même avoir à utiliser une ligne de commande !

passons à la pratique

Passons donc à la pratique. L’outil utilisé dans la vidéo ci-dessous se nomme Yersinia. C’est l’un des rares outils permettant de jouer avec les protocoles de niveau 2. Attention, ce n’est pas parce qu’il y a peu d’outils que la qualité n’est pas au rendez vous !

Voir cette vidéo sur YouTube

Et voila, c’était simple n’est-ce pas (du point de vue de l’attaquant tout au moins) ? Néanmoins, cette vidéo ne recouvre qu’un seul cas. Je vous invite donc à vous documenter également sur les fonctions « root guard» ou encore « loop guard ». Ce protocole, comme beaucoup d’autres possèdent de nombreuses options à ne pas négliger pour garantir une bonne sécurité.

ma vision personnelle pour conclure ce point

Tout ceci ne nous rajeunit pas et nous tourne encore moins vers le futur. Néanmoins, en considérant que l’adoption des nouveaux protocoles et le renouvellement des réseaux de production existants se fait sur de nombreuses années, il me semble que se replonger dans ces options peut toujours être intéressant pour nombre d’entre nous. Une preuve ? Lors des différentes interventions que j’ai pu être amené à faire sur ce sujet ces trois dernières années, bien peu des participants avaient effectué ce travail d’analyse pourtant intéressant et peu couteux.

Cedric