Envoyé par
boboss123
Est-ce qu'il existe une MIB SNMP standard qui permet de détecter des attaques réseau via flood de BPDUs ?
Salut,
pas à ma connaissance. Et je pense que la raison principale, c'est que le flooding de BPDU est partie inhérente des protocoles Spanning Tree. Parce que dès lors qu'un switch détecte un changement de topologie dans un arbre Spanning Tree, il émettra un (ou des) BPDU avec le bit TCN qui sera diffusé dans l'ensemble de la topologie au travers de tous ses ports qui portent l'instance.
Mais à y réfléchir, ce type d'attaque n'est possible que si l'attaquant peut injecter des BPDU sur un port L2...
Ce qui est d'une probabilité extrêmement faible, voire concrètement impossible puisque si tout est configuré dans les "règles de l'art" :
- les "ports utilisateurs" ne devraient pas être habilités à absorber des BPDU (portfast sur code Cisco) et de façon générale, un port L2 qui n'a pas besoin de spanning Tree devrait être en "Spanning Tree disabled",
- tous les "ports backbone" sont généralement accompagnés des protections BPDUGuard ou Guard Root lorsque c'est nécessaire.
Si ces aménagements sont faits, c'est suffisamment durci...
-VX
Partager