Académique Documents
Professionnel Documents
Culture Documents
spanning-tree
Cédric Baillet
H
eureusement, les protocoles couram- vocation est seulement de mettre en évidence
ment usités sur les LAN possèdent la la nécessité d’utiliser toutes les fonctions des-
plupart du temps des fonctionnalités tinées à sécuriser les protocoles réseau au
permettant de les sécuriser plus fortement travers d’un exemple : le spanning-tree. Il sera
qu’en implémentant la simple configuration par nécessaire de démultiplier cette démarche sur
défaut. l’ensemble des protocoles utilisés au sein d’un
Un réseau sécurisé sera donc composé de réseau pour commencer à avoir une procédure
périphériques totalement dédiés à la sécurité d’audit techniquement exhaustive.
comme les firewalls ou les IPS (système de Les réseaux LAN ont aujourd'hui montré leur
prévention d’intrusion), mais aura aussi été valeur et sont couramment utilisés touchant à la
pensé pour mettre en place tous les éléments
de sécurité des différents protocoles implémen-
tés. C’est à cette seule exigence que des con- Ce qu'il faut savoir...
ditions de sécurité optimales seront réunies. Idéalement, le lecteur connaîtra les différents types
La création d’une entreprise et de son de périphériques réseaux, les bases des protocoles
réseau à partir du néant est de plus en plus qu'ils utilisent ainsi que les grands concepts de l'IP.
rare. La plupart du temps, les administrateurs
réseaux doivent gérer un existant plus ou
moins obsolète ou encore la réunion de dif-
férentes infrastructures nées au gré de la vie Cet article explique...
de l’entreprise. C’est dans ce genre de situa-
• Les grandes lignes du fonctionnement du proto-
tion que la notion d’audit devient intéressante cole spanning-tree.
pour répondre à cette angoissante question : • Les faiblesses potentiellement exploitables par
l’ensemble de mon infrastructure réseau est-il un attaquant.
bien sécurisé ? • Les contre-mesures pouvant être mises en
Notez bien que cet article ne vous permet- place.
tra pas de réaliser un audit réseau complet. Sa
����������������������������������������������������������������������
�������������
������������������������������������������������������������������
����������������������������������������������������������������������
���������������������������������
Figure 1. Introduction
fois les particuliers et les entreprises. du concentrateur (hub) en matière de de boucles sur les réseaux de niveau
Face à une utilisation de plus en plus connectivité. 2 lors des interconnectxions multi-
répandue, il est donc nécessaire de Connaissant le port du destina- ples mises en place entre commuta-
se demander s'ils sont suffisamment taire, le commutateur ne transmettra teurs pour assurer la redondance du
sécurisés pour ne pas représenter un le message que sur le port adéquat, réseau (Figure 3).
risque pour l'ensemble des données les autres ports restants dès lors Ceci est réalisé en rendant les
transitant sur leurs infrastructures. libres pour d'autres transmissions commutateurs conscients de l’exis-
Question épineuse à laquelle les susceptibles de se produire simul- tence de leurs voisins et de l’état de
audits LAN sont censés répondre. tanément. Il en résulte que chaque la bande passante sur les liens com-
Cet article tentera donc d'ap- échange peut s'effectuer à débit no- muns. Chaque commutateur sélec-
porter des éléments de réponse au minal (plus de partage de la bande tionne alors un seul parcours, sans
travers de l'analyse de l'un des pro- passante), sans collision, avec pour boucle et avec une bande passante
tocoles les plus couramment utilisés conséquence une augmentation très disponible maximale par rapport à un
dans ce type d'environnement : le sensible de la bande passante du ré- point de référence commun à l'en-
spanning-tree. seau (à vitesse nominale égale). semble des membres du domaine
Le protocole spanning-tree (ou de niveau 2 (sera appelé domaine de
Le protocole STP pour spanning-tree protocol) niveau 2 l'ensemble des commuta-
spanning-tree a été créé pour prévenir la formation teurs travaillant sur un même subnet
Un commutateur est un pont multi-
port (un pont est un dispositif maté-
riel permettant de relier des réseaux
travaillant avec le même protocole. �
������
�
Ainsi, contrairement au répéteur,
qui travaille au niveau physique, le
�
pont travaille également au niveau
�
logique), c'est-à-dire qu'il s'agit d'un
������
élément actif agissant au niveau 2 du
����������
modèle OSI.
Le commutateur analyse les � �
���������
trames arrivant sur ses ports d'en- �
� � � �
trée et filtre les données afin de les
����������������
Récupération
Port 0/1 Port 0/1
du rôle root bridge
SW 1 BROADCAST SW2 par un attaquant
Ici nous traiterons de la théorie, de la
Port 0/2 Port 0/2
pratique ainsi que les contre-mesu-
res possibles.
Récupération du rôle
SEGMENT 1 de root bridge : la théorie
Le root bridge est sélectionné en
comparant l’identifiant du commu-
tateur contenu dans un champ des
PC 1 PC2 trames BPDU. La valeur par défaut
de cet identifiant pour les commu-
Figure 4. Tempête de broadcast tateurs Cisco Catalyst est de 32768
et est donc utilisée comme telle lors le but sera de forger une adresse La partie gauche permet de
de l’élection du root bridge si l’admi- MAC plus basse que celle du root voir les paquets reçus et envoyés
nistrateur réseau ne la modifie pas. légitime). par protocole, la partie droite nous
Lorsque deux commutateurs ont un donne le détail et permet de modifier
identifiant avec la même valeur, leurs Récupération du rôle certains paramètres pour lancer des
adresses MAC sont alors utilisées de root bridge : la pratique attaques. Il est possible de modifier
pour les départager, l’adresse la plus Comme évoqués en début d’article, les principaux champs du protocole
faible remportant l’élection. nous allons utiliser le logiciel Yersinia spanning-tree pour mettre en œuvre
Pour récupérer le rôle du root pour mettre en œuvre cette attaque. l’attaque décrite précédemment dans
bridge, un attaquant devra donc en- Vous verrez que ce dernier est d’une la partie inférieure droite. Le réseau
voyer des BPDU forgées avec une simplicité extrême et permet de met- utilisé pour la démonstration ayant été
priorité plus faible que celle du root tre en pratique toute la théorie en configuré avec les paramètres span-
bridge actuel (Figure 5). Si le root trois clics. ning-tree par défaut, nous n’aurons
bridge légitime a une priorité à zéro, Yersinia possède désormais une pas besoin de modifier les valeurs
il sera alors nécessaire de modifier interface graphique (Figure 6), enco- des différents champs. Il suffira de
l’axe d’attaque en travaillant en plus re instable, c’est vrai, mais simplifiant laisser Yersinia agir.
avec les adresses MAC (pour rappel, énormément les choses. Pour lancer notre attaque, il suffit
de cliquer sur le bouton launch attack
dans la barre supérieure et la fenêtre
Root Bridge pirate - Étape 1 présentée dans la Figure 7.
Listant toutes les attaques pos-
Root Bridge
Priorité:32768 sibles pour le protocole spanning-
tree apparaîtra. La dernière étape
consiste simplement à sélectionner
l’option claiming root role et à vali-
der.
STP Blocking Port La Figure 8 provient du commu-
tateur utilisé pour la démonstration.
Comme vous le constatez, le rôle du
root bridge est désormais attribué
Root Bridge pirate - Étape 2 au port de notre PC pirate. L’attaque
a donc réussi. C’était extrêmement
Root Bridge simple n’est-ce pas ?
Priorité:32768
Switch(config-if)# spanning-tree
guard root
ses ports jusqu’à ce que la table Réalisation d’un déni sont envisageables. L’une des ap-
MAC soit à nouveau à jour. de service : la pratique proches possibles est de provoquer
Ce type de fonctionnement Comme nous venons de le voir, le l’élection et la disparition du root
nous offre plusieurs approches déni de service pouvant être provo- bridge de façon perpétuelle.
pour attaquer le réseau via le qué via le spanning-tree ne doit pas Une attaque comme celle-ci se
spanning-tree qui pourraient être être sous-estimé et devrait toujours réalise de deux façons :
résumées ainsi : si un calcul ré- être pris en compte lors du design et
curent du spanning-tree peut être de la configuration d’un réseau com- • Cas 1, l’attaquant envoie sur le
provoqué, il devrait être possible muté, d’autant plus qu’un nombre réseau des BPDU pour récupérer
de récupérer une partie du trafic ré- important de variations sur ce thème le rôle du root en décrémentant la
seau transitant par ce commutateur
(réplication du trafic sur tous les
ports pendant les quinze premières
secondes) et provoquer ultimement
un déni de service sur le réseau
(Figure 10).
Bien qu’une attaque par déni de
service ne semble pas aussi intéres-
sante qu’une redirection et/ou une
modification du trafic, un déni de
service fondé sur le spanning-tree
peut rendre inutilisable un réseau
de grande taille et sera difficilement
identifiable. De plus, le but de l’atta-
quant est probablement de segmen-
ter le réseau et non de provoquer sa
chute complète.
Ainsi, un attaquant cherchant
à contourner un IDS/IPS ou un
pare-feu pour atteindre une partie du
réseau contenant des données sen-
sibles pourra utiliser une technique
comme celle-ci.
S’il s’agit d’un IDS/IPS à part
entière connecté sur le réseau,
cette attaque ne sera pas toujours
couronnée de succès, par contre,
s’il s’agit d’une carte placée dans
le commutateur censé être le root
bridge, isoler ce dernier permet-
tra d’éliminer la protection mise Figure 8. Root bridge du VLAN 3 Avant/Après
en place par l’administrateur et
d’accéder à une nouvelle partie du
réseau. Root Bridge pirate - Étape 3
Un deuxième exemple serait
Root Bridge
celui d' En revanche, s’il s’agit Priorité: 32768
d’une carte placée dans le com-
Root guard Root guard
mutateur censé être le root bridge,
isoler ce dernier permettra d’éli-
miner la protection mise en place
par l’administrateur et d’accéder STP Bloocking Port
Priorité du Priorité du
à une nouvelle partie du réseau. Un pirate: 1 pirate: 1
deuxième exemple serait celui d'un
Root Bridge
attaquant isolant des machines Priorité: 1
clientes des serveurs pour usurper
leurs identités et avoir ainsi accès
à des informations. Figure 9. Mise en échec du pirate grâce à la fonction root guard
guard est facilement configurable La configuration demande donc une La mise en place du BPDU
par port et désactivée par défaut. action volontaire de l’administrateur. Guard se fera sur les interfaces des
commutateurs via la commande
suivante :
Switch(config-if)# spanning-tree
bpduguard enable
Conclusion
Vous venez de voir comment mettre
Spanning-tree DoS - Action du BPDU Guard
en évidence des défauts de configu-
Root Bridge ration susceptibles de mener à des
Priorité: 32768 attaques dévastatrices pour des LAN
sur le protocole spanning-tree.
BPDU Guard BPDU Guard Les contre-mesures présentées
offrent une solution aux questions
Mode errdisable Mode errdisable traitées, mais de nombreuses autres
options permettant de renforcer ce
protocole existent. Il est donc néces-
BPDU Flood BPDU Flood saire de continuer à enquêter plus
avant pour réussir à obtenir un réseau
de niveau 2 fiable et solide.
Quelques pistes de recherches
Figure 13. Action du BPDU Guard complémentaires dans un environ-
nement Cisco seraient :