Spanning Tree Protocol (STP), ikinci katmandaki döngüleri önlemek ve yedeklilik sağlamak için geliştirilmiş bir protokoldür. Yönetilebilir tüm switch cihazlarında çalışır. STP protokolü hakkında detaylı bilgiye aşağıdaki yazımdan ulaşabilirsiniz.
STP protokolü zaman içinde büyük bir gelişim göstermiştir ve tabanında, Cisco ve IEEE tarafından geliştirilmiş farklı protokoller bulunmaktadır.
Cisco, geliştirdiği PVST, PVST+ ve RPVST+ protokolleri ile çeşitli özellikler eklemiştir. Bu özellikler, protokolü hızlandırmayı ve güvenliği geliştirmeyi amaçlamaktadır.
Güvenlik açısından geliştirdiği özelliklerden biri “Root-Guard” özelliğidir. Bu özellik, güvenlik sağlasa da oldukça katı bir özelliktir.
Bu özellik “Root-Switch” cihazımızın “Designated” portlarında açılır. Konuyu daha iyi kavramak için bir uygulama gerçekleştirelim.
Aşağıdaki topolojimizde birçok switch cihazı ve normal kullanıcılar bulunmaktadır. Ayrıca ağımızda bir “Tehdit Aktörü” da yer almaktadır. Bu kişi, örneğimizde STP protokolünü manipüle edecek olan kişidir.
Bu özellik, “Root-Switch” dışında başka bir cihazın (başka bir switch veya tehdit aktörü) kendini “Root-Switch” olarak ilan ettiği durumlarda etkin hale gelir.
Bu özellik, kasıtlı müdahale veya yanlış konfigürasyon sonrasında devreye girebilir. Öncelikle, yanlış konfigürasyon sonrası özelliğin devreye girme senaryosuna göz atalım.
Görselde işaretlenen Switch cihazı üzerinde yanlışlıkla “VLAN 10” için “Bridge-Priority” değerini 0 olarak ayarladığımızı varsayalım. Bu durumda, cihaz kendisini “Root-Switch” olarak ilan eden BPDU mesajları göndermeye başlayacaktır. Bu mesajı alan ve “GigabitEthernet 0/1” portunda “Root-Guard” özelliği aktif olan asıl “Root-Switch” cihazı, söz konusu portu “Inconsistent-State” durumuna alacaktır. Sonuç olarak, trafiğin “GigabitEthernet 0/1” portundan geçişi engellenmiş olacaktır.
Bu kuralın bu kadar katı olmasının sebebi tam olarak budur. Çünkü “GigabitEthernet 0/1” portu üzerinden diğer ağlara giden cihazlar, yanlış konfigürasyon yaptığımız switch’in kendisini root switch olarak ilan ettiği BPDU mesajlarını göndermeyi bırakana kadar, bu portu kullanamayacaklardır.
Bu özellik kasıtlı olarak da devreye sokulabilir. Ağımızdaki bir tehdit aktörü, çeşitli araçlar kullanarak kendini bir switch olarak gösterebilir ve “BPDU” mesajları gönderebilir. “Bridge-Priority” değerini düşürüp, kendisini “Root Switch” olarak ilan edebilir.
Bu durumda, “Root-Switch” cihazımız “GigabitEthernet 0/2” portunu “Inconsistent-State” durumuna alacaktır. Ancak, kasıtlı olarak gerçekleştirilen bu saldırı sonrasında tehdit aktörü, ağımızı bir nevi devre dışı bırakmış olacaktır. Çünkü ağımızdaki normal kullanıcılar, “GigabitEthernet 0/2” portunu kullanarak diğer ağlara erişim sağlayamayacaklardır.
Bu yüzden, ucunda son kullanıcı olduğunu bildiğimiz portlar için “BPDU-Guard” özelliğini kullanmak daha doğru olabilir. Bu konuya ise diğer yazılarımda değineceğim.
“Root-Guard” özelliği, “Root-Switch” olarak belirlediğimiz cihazın “Designated” portları üzerinde konfigüre edilebilir. Konfigürasyon için aşağıdaki komutlar kullanılabilir:
Switch# configure terminal
Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# spanning-tree guard root ("Root-Guard" özelliğini etkinleştirme)
Switch(config-if)# exit
Switch(config)#
Switch(config)# interface gigabitEthernet 0/2
Switch(config-if)# spanning-tree guard root
Switch(config-if)# exit
Switch(config)# exit
Switch# write memoryHangi portların “inconsistent-state” durumuna geçtiğini görüntülemek için aşağıdaki komutu kullanabiliriz.
Switch# show spanning-tree inconsistentports“Root-Guard” özelliğini, “Root-Switch” olarak belirlediğimiz cihazın “Designated” portları üzerinde devre dışı bırakmak için aşağıdaki komutları kullanabiliriz:
Switch# configure terminal
Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# no spanning-tree guard root ( DEVRE DIŞI BIRAKMA KOMUTU )
Switch(config-if)# exit
Switch(config)#
Switch(config)# interface gigabitEthernet 0/2
Switch(config-if)# no spanning-tree guard root
Switch(config-if)# end
Switch# copy running-config startup-configDaha fazla bilgisayar-ağları içeriği için takipte kalın…
Leave a Reply