BPDU-Guard

Spanning Tree Protocol (STP), ikinci katmandaki döngüleri önlemek ve yedeklilik sağlamak için geliştirilmiş bir protokoldür. Yönetilebilir tüm switch cihazlarında çalışır. STP protokolü hakkında detaylı bilgiye aşağıdaki yazımdan ulaşabilirsiniz.

“STP protokolü, yapısı gereği çeşitli saldırılara karşı savunmasızdır. Bu nedenle Cisco, ‘Per-VLAN Spanning-Tree Protocol’ ile birçok güvenlik özelliği eklemiştir. Bu özellikler şunlardır:”

• Root-Guard
• BPDU-Guard
• BPDU-Filter
• Loop-Guard

Bu yazımda, yukarıdaki özelliklerden ‘BPDU-Guard’ özelliğine değineceğim.

BPDU-Guard özelliği, STP topolojimizi korumamıza yardımcı olan bir güvenlik özelliğidir. BPDU-Guard koruması, özellikle ucunda son kullanıcı olduğunu bildiğimiz portlarda etkinleştirilir. Normal şartlarda, “Access” yani ucunda son kullanıcı cihazı olan portlardan “Bridge Protocol Data Unit (BPDU)” mesajlarının gelmesi beklenmez. Ancak, ağımızda bulunan kötü niyetli bir tehdit aktörü kendisini bir switch cihazı gibi göstererek BPDU trafiği yaratabilir. Hatta bu cihaz, kendisini “Root-Switch” olarak ilan etmeye de çalışabilir. Bu tür saldırıları engellemek için “BPDU-Guard” özelliği kullanılmaktadır.

BPDU-Guard özelliğini etkinleştirdiğimiz bir porttan BPDU mesajı gelmesi durumunda, bu port Switch tarafından “Err-Disable” moduna alınır. Bu modda port tamamen kapatılmaz ancak herhangi bir trafik oluşturmasına da izin verilmez.

BPDU-Guard koruma özelliği, hem global olarak hem de arayüz bazında etkinleştirilebilir.

Öncelikle BPDU-Guard özelliğini “global” olarak etkinleştirelim. Bunun için aşağıdaki komutlar kullanılabilir. Ancak, global olarak BPDU-Guard özelliğini etkinleştirmek için, bu özelliğin aktif olmasını beklediğimiz portların “Access” modunda yapılandırılmış olması gerekmektedir.

Switch# configure terminal
Switch(config)# interface range fastEthernet 0/1-24 
Switch(config-if)# switchport mode access
Switch(config-if)# exit
Switch(config)#
Switch(config)# spanning-tree portfast bpduguard default (AYRICA PORTFAST ÖZELLİĞİNE AÇMAMIZ GEREKİR. GLOBAL DE BU ŞEKİLDE AÇILIR.)
Switch(config)# exit
Switch# write memory

BPDU-Guard ve Portfast özelliklerinin “global” olarak etkinleştirilip etkinleştirilmediğini kontrol etmek için aşağıdaki komut kullanılabilir.

Switch# spanning-tree summary

PortFast BPDU Guard Default  is enabled

BPDU-Guard özelliğini arayüz bazında açmak için aşağıdaki komutu kullanabiliriz.

Switch# configure terminal
Switch(config)# interface fastEtherent 0/1
Switch(config-if)# spanning-tree bpduguard enable  (Ayrıca disable seçeneği var. Disable seçeneği ile devre dışı bırakabiliriz.)
Switch(config-if)# end
Switch# copy running-config startup-config

BPDU-Guard özelliğini etkinleştirdiğimizde, etkinleştirilen porttan herhangi bir BPDU mesajı geldiğinde port “err-disable” moduna geçer. Bununla birlikte, aşağıdaki gibi bir log mesajı oluşturur:

%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Fa0/1 with BPDU Guard enabled. Disabling port.
%PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state

Port “err-disable” durumuna alındıktan sonra, varsayılan olarak otomatik şekilde kurtarılmaz. Bu durumda portu manuel olarak yeniden açmamız gerekmektedir.

Switch# configure terminal
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
Switch(config-if)# end
Switch# write memory

Eğer “err-disable” durumunda olan portu otomatik olarak kurtarmak istiyorsak, aşağıdaki komutları kullanabiliriz:

Switch# configure terminal
Switch(config)# errdisable recovery cause bpduguard 
Switch(config)# errdisable recovery interval 60 (Eğer 60 saniye içinde herhangi bir BPDU mesajı gelmezse portu otomatik olarak açar.)
Switch(confif)# exit
Switch# write memory

Daha fazla bilgisayar-ağları içeriği için takipte kalın…