Kategorie: Netzwerkprotokolle :: Sicherheit
Das Spanning Tree Protocol (STP) sorgt für eine schleifenfreie Topologie auf dem Layer 2. Dazu versenden die Switche spezielle Datenpakete, sogenannte BPDUs. Über diese BPDUs wird zum Beispiel die Root Bridge bestimmt und und der Status der einzelnen Switchports festgelegt.
STP verfügt über keinerlei Sicherheitsmechanismen. Jede Station kann BPDUs erzeugen und ins Netz senden. Brücken und Switches werden diese BPDUs auswerten. Ein Angreifer kann über manipulierte BPDUs das Netzwerk stören (DoS) oder die Topologie verändern.
Das Abschalten von STP ist keine gute Idee. Eine Schleife auf dem Layer 2 löst dann sofort einen Broadcast Storm aus.
Cisco hat zur Erhöhung der Sicherheit auf dem Layer 2 ein Faeature namens BPDU Guard entwickelt. BPDU Guard wird auf Access Ports aktiviert. Empfängt ein Port auf dem BPDU Guard aktiviert ist eine BPDU, wird dieser Port deaktiviert.
BPDU Guard sollte zusammen mit PortFast genutzt werden. Cisco IOS und CatOS unterstützen BPDU Guard.
Suchbegriffe: Bridge Protocol Data Unit (BPDU) Guard Feature, Broadcast Sturm, errdisable, Loop