Spanning Tree Protocol(STP)은 스위치 네트워크 환경에서 다중으로 연결된 스위치들의 루프현상을 막아준다. BPDU라는 패킷을 주기적으로 보내면서 Keep Alive메세지를 주고 받고 항상 root bridge와 designated bridge를 정해놓고 있다.
해커 혹은 STP 공격자들은 이런 다중 스위치환경에 가상의 스위치를 하나 더 설치함으로 해당 스위치가 root bridge가 되게끔 유도한다. 그럼으로써 공격자는 스위치에 물려있는 모든 패킷을 Switched Packet Analyzer Network (SPAN)과 같은 기능을 이용해서 모니터 할 수 있게 된다.
이러한 공격을 막기 위해서 시스코에서는 Root Guard와 BPDU Guard를 이용할것을 권고한다.
Root Guard
Cat3550(config)# interface gigabitethernet 0/1
Cat3550(config-if)# spanning-tree guard root
정말 간단하지만 위의 명령어로 인해 root bridge는 안보이게 되고 Root Guard가 설정된 모든 스위치는 root bridge와 가장 가까운 스위치로 인식하게 된다.
BPDU Guard
Cat3550(config)# interface gigabitethernet 0/2
Cat3550(config-if)# spanning-tree portfast bpduguard
STP은 blocking - listening - learning - forwarding의 순서로 네트워크를 가지치기하는데 BPDU Guard는 그런 과정을 생략하고 바로 blocking - forwarding으로 넘어가게 된다.
Portfast에 관해서는 나중에 자세히 얘기할 기회가 있었으면 한다.
참고로 Portfast는 Cisco proprietary protocol이다.
해커 혹은 STP 공격자들은 이런 다중 스위치환경에 가상의 스위치를 하나 더 설치함으로 해당 스위치가 root bridge가 되게끔 유도한다. 그럼으로써 공격자는 스위치에 물려있는 모든 패킷을 Switched Packet Analyzer Network (SPAN)과 같은 기능을 이용해서 모니터 할 수 있게 된다.
이러한 공격을 막기 위해서 시스코에서는 Root Guard와 BPDU Guard를 이용할것을 권고한다.
Root Guard
Cat3550(config)# interface gigabitethernet 0/1
Cat3550(config-if)# spanning-tree guard root
정말 간단하지만 위의 명령어로 인해 root bridge는 안보이게 되고 Root Guard가 설정된 모든 스위치는 root bridge와 가장 가까운 스위치로 인식하게 된다.
BPDU Guard
Cat3550(config)# interface gigabitethernet 0/2
Cat3550(config-if)# spanning-tree portfast bpduguard
STP은 blocking - listening - learning - forwarding의 순서로 네트워크를 가지치기하는데 BPDU Guard는 그런 과정을 생략하고 바로 blocking - forwarding으로 넘어가게 된다.
Portfast에 관해서는 나중에 자세히 얘기할 기회가 있었으면 한다.
참고로 Portfast는 Cisco proprietary protocol이다.
'IT 이야기' 카테고리의 다른 글
| Switched Packet Analyzer! (0) | 2010.06.30 |
|---|---|
| DHCP공격에 대한 기본적인 Switch 설정 (0) | 2010.06.30 |
| IPSec과 isakmp설정하기 (1) | 2010.06.17 |
| ESMTP에 대하여 (0) | 2010.06.17 |
| 642-832 tshoot .덤프 문제풀이 (0) | 2010.05.12 |
