spanning-tree, et si l'on se permettait un complément ?

Le spanning-tree est un protocole encore très répandu, et cela bien que les constructeurs poussent maintenant l’ensemble de leurs clients à mettre en œuvre du routage de niveau 3 dès l’extrémité. En ce sens, l’article  
La plupart des constructeurs de commutateurs ont désormais intégré une fonction souvent appelée « BPDU GUARD » qui permet de filtrer ces paquets sur les ports utilisateur. Ces derniers sont donc supprimés systématiquement lorsqu’ils sont détectés sur un port anormal, ce qui protège le châssis et l’ensemble du domaine de niveau 2. Le cas présenté dans le schéma précédent devient donc caduc.

Maintenant, en dehors de la théorie qui vient d’être présentée, pourquoi est-ce réellement important de penser à mettre en œuvre cette fonction ? Tout simplement parce que des outils permettant de réaliser cette attaque de façon simple existent – et cela sans même avoir à utiliser une ligne de commande !

passons à la pratique

Passons donc à la pratique. L’outil utilisé dans la vidéo ci-dessous se nomme Yersinia. C’est l’un des rares outils permettant de jouer avec les protocoles de niveau 2. Attention, ce n’est pas parce qu’il y a peu d’outils que la qualité n’est pas au rendez vous !

Voir cette vidéo sur YouTube

Et voila, c’était simple n’est-ce pas (du point de vue de l’attaquant tout au moins) ? Néanmoins, cette vidéo ne recouvre qu’un seul cas. Je vous invite donc à vous documenter également sur les fonctions « root guard» ou encore « loop guard ». Ce protocole, comme beaucoup d’autres possèdent de nombreuses options à ne pas négliger pour garantir une bonne sécurité.

ma vision personnelle pour conclure ce point

Tout ceci ne nous rajeunit pas et nous tourne encore moins vers le futur. Néanmoins, en considérant que l’adoption des nouveaux protocoles et le renouvellement des réseaux de production existants se fait sur de nombreuses années, il me semble que se replonger dans ces options peut toujours être intéressant pour nombre d’entre nous. Une preuve ? Lors des différentes interventions que j’ai pu être amené à faire sur ce sujet ces trois dernières années, bien peu des participants avaient effectué ce travail d’analyse pourtant intéressant et peu couteux.

Cedric

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.