Mitigar Ataques STP

Mitigar Ataques STP
5

Resumen

Se explica cómo configurar PortFast y BPDU Guard para mitigar los ataques STP. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!

¡Bienvenido!: Este tema forma parte del Módulo 11 del curso de Cisco CCNA 2, para un mejor seguimiento del curso puede ir a la sección CCNA 2 para guiarte del índice.

1. PortFast y BPDU Guard

Recuerda que los atacantes de red pueden manipular el Protocolo de árbol de expansión (STP) para realizar un ataque falsificando el puente raíz/root bridge y cambiando la topología de una red. Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), usa PortFast y la Bridge Protocol Data Unit (BPDU) Guard.

  • PortFast – PortFast lleva inmediatamente una interfaz configurada como un puerto de acceso o troncal al estado de reenvío desde un estado de bloqueo, pasando por alto los estados de escucha y aprendizaje. Se aplica a todos los puertos de usuario final. PortFast sólo debe ser configurado en los puertos conectados a los dispositivos finales.
  • Protección BPDU: BPDU guard inmediatamente deshabilita error en un puerto que recibe un BPDU. Al igual que PortFast, BPDU guard sólo debe ser configurado en las interfaces conectadas a los dispositivos finales.

En la figura, los puertos de acceso para S1 deberían ser configurados con PortFast y BPDU Guard.

Configurar PortFast y BPDU Guard

Configurar PortFast y BPDU Guard

2. Configurar PortFast

PortFast omite los estados de escucha/listening y aprendizaje/learning de STP para minimizar el tiempo que los puertos de acceso deben esperar a que STP converja. Si habilitas PortFast en un puerto que se conecta a otro switch, corres el riesgo de crear un bucle de árbol de expansión.


PortFast se puede habilitar en una interfaz mediante el comando de configuración de la interfaz spanning-tree portfast. Alternativamente, Portfast se puede configurar globalmente en todos los puertos de acceso mediante el comando de configuración global spanning-tree portfast default.

Para verificar si PortFast está habilitado globalmente, puedes usar el comando show running-config | begin span o el comando show spanning-tree summary. Para verificar si PortFast tiene habilitada una interfaz, usa el comando show running-config interface type / number, como se muestra en el siguiente ejemplo. El comando show spanning-tree interface type / number detail también se puede usar para la verificación.

Nota que cuando PortFast esta habilitado, se muestran mensaje de advertencia.

S1(config)# interface fa0/1
S1(config-if)# switchport mode access
S1(config-if)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
 host. Connecting hubs, concentrators, switches, bridges, etc... to this
 interface when portfast is enabled, can cause temporary bridging loops.
 Use with CAUTION
%Portfast has been configured on FastEthernet0/1 but will only
 have effect when the interface is in a non-trunking mode.
S1(config-if)# exit
S1(config)# spanning-tree portfast default
%Warning: this command enables portfast by default on all interfaces. You
 should now disable portfast explicitly on switched ports leading to hubs,
 switches and bridges as they may create temporary bridging loops.
S1(config)# exit
S1# show running-config | begin span
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
!
interface FastEthernet0/1
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
! 
(output omitted)
S1#

3. Configurar BPDU Guard

Aunque PortFast está habilitado, la interfaz seguirá escuchando por BPDUs. Los BPDUs inesperados pueden ser accidentales o parte de un intento no autorizado para agregar un switch a una red.

Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se coloca en estado error-disabled. Esto significa que el puerto se cierra y debe volver a habilitarse manualmente o recuperarse automáticamente mediante el comando global errdisable recovery cause psecure_violation.

BPDU Guard se puede habilitar en un puerto mediante el comando de configuración de la interfaz spanning-tree bpduguard enable. Alternativamente, usa el comando de configuración global spanning-tree portfast bpduguard default para habilitar globalmente BPDU guarden todos los puertos habilitados para PortFast.

Para mostrar información sobre el estado del árbol de expansión, usa el comando show spanning-tree summary. En el ejemplo, PortFast default y BPDU Guard están ambos habilitados como estado por defecto/Default para los puertos configurados como modo de acceso.

Note: Siempre activa BPDU Guard en todos los puertos habilitados para PortFast.

S1(config)# interface fa0/1
S1(config-if)# spanning-tree bpduguard enable
S1(config-if)# exit
S1(config)# spanning-tree portfast bpduguard default
S1(config)# end
S1# show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID           is enabled
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled
Configured Pathcost method used is short
(output omitted)
S1#

4. Comprobador de Sintaxis: Mitigar Ataques STP

Implementa Portfast y BPDU Guard para un switch basado en la siguiente topología y requerimientos específicos.

Configurar PortFast y BPDU Guard

Configurar PortFast y BPDU Guard

Te encuentras actualmente en una sesión en S1. Completa los siguientes pasos para implementar PortFast y BPDU Guard en todos los puertos de acceso.

  • Entra en el modo de configuración de la interfaz para fa0/1 – 24.
  • Configura los puertos en modo de acceso.
  • Vuelve al modo de configuración global.
  • Habilita PortFast por defecto para todos los puertos de acceso.
  • Habilita BPDU Guard por defecto para todos los puertos de acceso.
S1(config)#interface range fa0/1 - 24
S1(config-if-range)#switchport mode access
S1(config-if-range)#exit
S1(config)#spanning-tree portfast default
S1(config)#spanning-tree portfast bpduguard default
S1(config)# exit

Verifica que PortFast y BPDU Guard están habilitadas por defecto revisando un resumen/summary de la información de STP.

S1#show spanning-tree summary

Switch is in pvst mode
Root bridge for: none
Extended system ID           is enabled
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled
Configured Pathcost method used is short
(output omitted)
S1#

Has configurado y verificado exitosamente Portfast y BPDU Guard para el switch

Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.

Deja un Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

¿Quieres aprobar la certificación Cisco CCNA?Sí, quiero!
+ +