|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Valentin Davydov 2:5020/400 28 Jan 2005 13:15:06
To : Nikolay Mikhailov
Subject : Re: Безопасность STP/RSTP
--------------------------------------------------------------------------------
> From: Nikolay Mikhailov
> <Nikolay.Mikhailov@p16.f287.n5020.z2.fidonet.org>
> Date: Thu, 27 Jan 2005 19:49:04 +0300
>
>Слышал, что использование этих приятных и удобных вещей
Hе сказал бы, что они такие уж удобные. Hапример, они мешают пользоваться
лампочками по прямому назначению (для быстрой диагностики неисправностей):
ip-трафика через порт нет, а лампочка всё равно мигает.
>может быть небезопасным. Вопрос: почему? И чем это может грозить?
По сути своей STP есть протокол управления свичами. То есть STP-enabled
свич способен изменять свою конфигурацию (например, отключать те или
иные порты) в ответ на внешние воздействия, то есть приходящие по
сети пакеты. Причём в отличие от нормальных протоколов удалённого
управления (ssh на роутер, к примеру), вся "защита" STP построена на
основании порочного предположения, что кроме корректных реализаций STP
в сети отсутствуют другие устройства, способные генерировать STP-пакеты.
Однако в реальных сетях кроме кисок всречаются обычно и другие устройства,
начиная от рабочих станций и кончая глючащими хабами, которые, в принципе,
способны издавать любые пакеты, и, следовательно, неконтролируемым (силами
администратора) образом влиять на топологию сети. Таким образом, создание
безопасной конфигурации сети в любом случае требует ручного вмешательства
(принудительного блокирования STP на тех портах, где он не нужен), то есть
основной своей задачи - p'n'p конфигурирования портов - STP толком не решает.
Вал. Дав.
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
