Discussion :

[boboss123]

Bonjour,

Est-ce qu'il existe une MIB SNMP standard qui permet de détecter des attaques réseau via flood de BPDUs ? ... j'ai cherché dans le noeud SNMP dot1Stp (MIB BRIDGE-MIB) s'il y avait des compteurs de BPDU mais je n'ai rien trouvé

Merci d'avance

[Invité]

Est-ce qu'il existe une MIB SNMP standard qui permet de détecter des attaques réseau via flood de BPDUs ?

Salut,

pas à ma connaissance. Et je pense que la raison principale, c'est que le flooding de BPDU est partie inhérente des protocoles Spanning Tree. Parce que dès lors qu'un switch détecte un changement de topologie dans un arbre Spanning Tree, il émettra un (ou des) BPDU avec le bit TCN qui sera diffusé dans l'ensemble de la topologie au travers de tous ses ports qui portent l'instance.

Mais à y réfléchir, ce type d'attaque n'est possible que si l'attaquant peut injecter des BPDU sur un port L2...
Ce qui est d'une probabilité extrêmement faible, voire concrètement impossible puisque si tout est configuré dans les "règles de l'art" :

- les "ports utilisateurs" ne devraient pas être habilités à absorber des BPDU (portfast sur code Cisco) et de façon générale, un port L2 qui n'a pas besoin de spanning Tree devrait être en "Spanning Tree disabled",
- tous les "ports backbone" sont généralement accompagnés des protections BPDUGuard ou Guard Root lorsque c'est nécessaire.

Si ces aménagements sont faits, c'est suffisamment durci...

-VX

[boboss123]

Merci,

Effectivement si on active le BPDU filtering sur les ports utilisateurs, les ports utilisateurs seront protégés.

Par contre dans les scénario d'attaques que je dois gérer, l'attaquant à accès à l'équipement mais n'a pas le droit de le démonter : il pourrait donc insérer un équipement pour flooder des BDPU sur une boucle interne. Mais a y réfléchir c'est vrai que je peut détecter que quelqu'un à modifié la topologie réseau autrement.