
Inhaltsverzeichnis Nachdem wir in unserem ersten OWASP Top 10 Beitrag 3 Broken Access Control Attacks vorgestellt haben, geht es nun
Das Spanning Tree Protokoll, kurz STP, wurde 1990 in der IEEE-Norm 802.1.D standardisiert. Es arbeitet auf Layer 2 des OSI-Schichtenmodells (Data-Link-Layer) und verhindert sogenannte Schleifen, die durch erforderliche Redundanz in einem Netzwerk aufkommen.
Eine Redundanz in einem Netzwerk ist wichtig, um die Ausfallsicherheit zu erhöhen. Dafür bringt sie aber auch Nachteile wie beispielsweise Broadcast-Stürme mit sich. Somit spielen Spanning Tree Protokolle eine wichtige Rolle in der IT-Security.
Broadcast-Frames werden von Switches an alle möglichen Ports weitergeleitet. Besitzen die Switches zudem redundante Verbindungen, enden diese gesendeten Frames ohne den Einsatz des Spanning Tree Protokolls in einer Endlosschleife (Endless-Loop/ Netzwerk-Loop/ Switching-Loop). Das Netzwerk wird dadurch extrem ausgelastet und der normal laufende Betrieb des Netzwerkes kann so nicht mehr gewährleistet werden.
Um dennoch die Ausfallsicherheit eines Netzwerkes gewährleisten zu können bzw. zu erhöhen, sind redundante Verbindungen notwendig. Dank des Spanning Tree Protokolls können die Nachteile, die redundante Verbindungen mit sich bringen, beseitigt werden.
Mithilfe des STP-Algorithmus kann eine sogenannte Root-Bridge ausgewählt werden. Wie bereits erwähnt, stammt das Spanning Tree Protokoll aus dem Anfang der 90er Jahre. In dieser Zeit waren Switches noch nicht so verbreitet. Man arbeitete stattdessen mit sogenannten Bridges. Die Auswahl der Root-Bridge erfolgt über die sogenannte Bridge-ID, die folgende Informationen erhält:
Der Switch mit der höchsten/ besten Priorität (niedrigste Wert) wird zur Root-Bridge ernannt. Es kann jedoch durchaus vorkommen, dass mehrere Switches die gleiche Priorität besitzen. Dann gilt laut dem Spanning Tree Protokoll: Wer die „kleinste“ Wertigkeit der MAC-Adresse vorweisen kann, gewinnt den Vergleich. Durch die Bestimmung der Root-Bridge wird also sichergestellt, dass gesendete Frames nur einen Weg nehmen: den über die Root-Bridge.
Zudem müssen gemäß Spanning Tree Protokoll verschiedenste Port-Rollen vergeben werden – unter anderem solche, die den Datenverkehr entweder durchlassen oder blockieren. Dabei werden folgende Switch-Port Bezeichnungen unterschieden:
Dieser Port beschreibt den kürzesten Weg zur Root-Bridge. Jeder Switch (bis auf die Root-Bridge) weist diese Rolle genau einem Port zu. Dies ist ein Forwarding Port. Er leitet Datenpakete weiter.
Diese Ports sind alle „Nicht-Root-Ports“, welche den Netzwerkverkehr weiterleiten. Endet also die Verbindung auf einem Root-Port, so ist am anderen Ende das zu finden, was man als einen „Designated Port“ bezeichnet. Die Root-Bridge verfügt ausschließlich über Designated Ports. Auch hierbei handelt es sich um einen Forwarding Port.
Diese Ports sind im Blocking oder Discarding Modus. Sie entstehen, wenn zwei Designated Ports miteinander verbunden sind. Bei diesen Verbindungen wird eine Seite zum Alternate und der andere bleibt ein Designated Port.
Diese Ports sind am Switch deaktiviert und leiten keinen Netzwerkverkehr weiter.
Die Ports durchlaufen während des Spanning Tree Protokolls unterschiedliche Status, bis sie ihre endgültige Rolle haben.
Funktion | 802.1D STP | 802.1w RSTP |
Administrativ aus | Disabled | Disabled |
Durch STP deaktiviert BPDU werden akzeptiert | Blocking | Discarding |
Kein „Nutzdatenverkehr“ | Listening | Discarding |
Kein „Nutzdatenverkehr” MAC Tabelle wird gefüllt | Learning | Learning |
Normale Funktion | Forwarding | Forwarding |
Der Algorithmus ist nach dem IEEE 802.1D definiert und gibt folgende Portgeschwindigkeiten an:
Geschwindigkeit | 802.1D-1998 (STP) Cost | 802.1D-2004 (RSTP) Cost |
10 Mbit/s | 100 | 2.000.000 |
100 Mbit/s | 19 | 200.000 |
1 Gbit/s | 4 | 20,000 |
10 Gbit/s | 2 | 2,000 |
100 Gbits | N/A | 200 |
Um anfangs in einem Netzwerk zu erkennen, welcher Switch die Rolle der Root-Bridge übernimmt, tauschen alle Switches gemäß dem Spanning Tree Protokoll untereinander sogenannte „Bridge Protocol Data Unit“-Frames (BPDU) aus. In dieser BPDU ist die Bridge-ID sowie die Root-ID enthalten. Dabei ist die Root-ID (bestehend aus 6 Bit) anfangs immer die gleiche wie die Bridge-ID. Die Bridge-ID setzt sich, wie im obigen Abschnitt erklärt, aus der Priorität sowie der MAC-Adresse zusammen.
Die Switches vergleichen im Zuge des Spanning Tree Porotkolls untereinander die empfangenen Bridge-IDs. Sollten diese kleiner sein, so aktualisiert der Switch die Root-ID des empfangenen Frames mit seiner eigenen. Zudem werden die Switchports angepasst. So entstehen neue Root-Ports, Designated-Ports sowie Blocked-Ports.
Dabei kann die Priorität zwischen 0 und 61440 variieren. Der häufigste Standard ist 32768. Die gültigen Prioritätswerte sind 0 oder Vielfache von 4096. Je niedriger die Zahl, desto wahrscheinlicher wird der Switch als Root-Bridge ausgewählt.
Die Priorität setzt sich aus den Kosten (Cost) zusammen (einheitslos) sowie der VLAN-ID (12 Bit). Es sind also 2^12 = 4096 VLANs möglich.
Der Algorithmus wird beim Spanning Tree Protokoll so lange durchlaufen, bis die Root-Bridge ermittelt werden konnte und die Ports dementsprechend konfiguriert wurden. So lange fließen keine Daten.
Wie man sieht, gibt es eine Menge beim Spanning Tree Protokoll zu beachten und zu verstehen. Sind Sie sich noch immer unsicher und hätten gern weitere Informationen zum Spanning Tree Protokoll? Dann zögern Sie nicht und kontaktieren Sie uns. Wir beantworten Ihre Fragen gerne.
Inhaltsverzeichnis Nachdem wir in unserem ersten OWASP Top 10 Beitrag 3 Broken Access Control Attacks vorgestellt haben, geht es nun
Der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) 2022 zeigt: Die IT Sicherheit im öffentlichen Sektor ist zunehmend
Interview mit Christian Rosenzweig (Johner Institut) – Teil 2 Im ersten Teil unseres Interviews haben wir grundlegende Fragen rund um