ний телефон на пейджер або інший мобільний телефон, або безпосередньо через з'єднання IDS з робочим місцем адміністратора безпеки. При цьому цілком можливо, що атака не буде виявлений (falsenegative), якщо відповідні BPDU нададуть свій вплив на обладнання раніше, ніж будуть зафіксовані датчиком IDS і передані на центральну станцію, або не з'являться в контрольованих IDS сегментах.
У кожній конкретній мережі можна спробувати описати її нормальний стан з погляду STP. Наприклад, у мережі, де STP на всіх пристроях відключений, поява відповідних пакетів з високою часткою ймовірності може означати спробу атаки. Проведення серії виборів кореневого моста з постійним зниженням значення ідентифікатора моста або відсутність інших видів трафіку, крім STP, може означати атаку вічні вибори raquo ;. У мережі, перелік ідентифікаторів мостів якої фіксований і відомий, поява BPDU з новим ідентифікатором також, швидше за все, означає атаку.
Можливо, ефективним рішенням стане впровадження адаптивних, самообучающихся IDS із застосуванням технології нейронних мереж, оскільки вони можуть порівняти поточний стан мережі з нормальної ситуацією. Одним з оціночних параметрів може бути частка трафіку STP загалом мережевому трафіку.
Що мережеві адміністратори можуть зробити самостійно до кардинального вирішення проблеми?
Якщо використання STP в мережі не є життєво необхідним, даний протокол потрібно відключити на всіх підтримуючих його пристроях. У більшості пристроїв він включений за умовчанням.
У деяких випадках управління дублюючими каналами можна здійснювати за допомогою інших механізмів, наприклад Link Aggregation (підтримується багатьма пристроями, у тому числі Intel, Avaya та ін.).
Якщо обладнання має функцію індивідуального включення/відключення STP на кожному порту, STP необхідно відключити на всіх портах, крім підтримуючих теги, якщо вони пов'язані з іншим мережевим обладнанням, але не з одними сегментами. Особливо це стосується провайдерів Internet, так як недобросовісні користувачі можуть здійснити атаку DoS як проти мережі провайдера, так і проти інших клієнтів.
За можливості, необхідно сегментувати STP, тобто створити кілька дерев STP. Зокрема, якщо два сегменти мережі (офіси) пов'язані одним каналом глобальної мережі, використання STP на цьому каналі слід відключити.
При налаштуванні мережевого обладнання входить до ідентифікатор моста поле пріоритету слід задати мінімальним (що піднімає пріоритет). Це знизить шанси зловмисника виграти вибори кореневого моста при здійсненні атаки.
Якщо доступність сервісів має пріоритетне значення, а конфіденційність переданої інформації забезпечується протоколами верхніх рівнів, то при наявності в обладнанні функцій, аналогічних SpanningTreePortfast компанії Cisco або STP FastStart компанії 3Com, їх необхідно задіяти - це запобіжить атаки, спрямовані на відмову в обслуговуванні. Однак, як підкреслюють фахівці компаній-виробників, цього не можна робити на портах, до яких підключені STP-сумісні пристрої.
У свою чергу, розробникам стандарту і виробникам устаткування необхідно передбачити внесення низки змін до STP. Насамперед це стосується доповнення його механізмом аутентифікації об'єктів, відсутнім, до слова сказати, і в багатьох інших мережевих протоколах. Реалізація цього механізму можлива з використанням якого-небудь поширеного криптографічного протоколу, наприклад, наступним чином.
У межах групи обладнання, яке має утворити дерево STP, вибирається так званий загальний секрет (пароль, ключ), після чого він заноситься в кожне включається в групу пристрій (апаратно, за допомогою перемикачів dip або на смарт-Мапа або i-button).
Передані BPDU захищаються за допомогою MassageAuthenticationCode (MAC), коду ідентифікації повідомлення. Для цього до підготовленого до передачі пакету BPDU приєднується загальний секрет і для всього цього масиву розраховується значення хеш-функції (наприклад, SHA - 1). Отриманий хеш додається до скеровується пакету BPDU (сам секрет при цьому не передається).
На приймаючій стороні до пакету додається загальний секрет, розраховується хеш і порівнюється з отриманим. У разі збігу одержувач засвідчується, що пакет надійшов від одного з членів групи, знаючих загальний секрет.
Висновок
Помилки в такій складній галузі, як інформаційні технології і, зокрема, телекомунікації, практично неминучі. Однак це не означає, що їх розвиток повинен через це гальмуватися - не помиляється лише той, хто нічого не робить, як говорить народна мудрість. Тим часом з ускладненням технологій необхідно переходити до якісно інших методів проектування і розробки...
