O víkendu jsem se věnoval security hardeningu svého domácího routeru a kontroloval nastavení. Při zachytávání paketů Wiresharkem jsem zjistil, že router kromě jiného posílá každé 2 sekundy BPDU Spanning Tree Protokolu (STP). Jelikož v síti nemám více prvků a na smyčky si dávám pozor, rozhodl jsem se STP zakázat. Proč zbytečně posílát něco, co nepotřebuji?

Jak na to? Přes webové rozhraní tuto funkci nenastavíme. Musíme se k routeru připojit pomocí telnetu. Váš telnet klient se připojí k routeru a uvidíte příkazový řádek, kde vše pomocí několika málo příkazů nastavíme.

1. Spusťte vašeho telnet klienta. Příklady telnet klientů: Putty, Microsoft Telnet Client (integrovaný ve Windows XP)

Poznámka pro uživatele Windows Vista: Váš operační systém neobsahuje po výchozí instalaci Microsoft Telnet klienta a je potřeba si ho doinstalovat nebo použít jiný nástroj.

2. Připojte se k zařízení. Pro zjednodušení budu od této chvíle v návodu používat Microsoft Telnet klienta. Není potřeba ho nijak nastavovat, a tak ho stačí jen spustit a zadávat příkazy.

Do Start -> Spustit vepište příkaz ve tvaru “telnet 192.168.101.1”, kde 192.168.101.1 je IP adresou vašeho routeru.

Pokud se vám nedaří spojit přes telnet, ověřte si přes webové rozhraní routeru, že máte přístup pomocí tohoto protokolu povolený: http://192.168.101.1 -> System Setup -> Services -> Enable telnet access

Poznámka: Doporučuji vše konfigurovat z lokální sítě – tedy nikoliv z WAN. Používat telnet skrz WAN prostředí není bezpečné.

3. Přihlašte se jako administrátor. Výchozí uživatelské jméno je admin. Po zadání jména a hesla stiskněte vždy klávesu Enter.

4. Zjistěte si aktuální stav protokolu spanning tree pomocí příkazu “brctl show”. Stav protokolu je buď yes – zapnuto nebo no – vypnuto.

5a. Dočasné vypnutí STP lze provést příkazem ” brctl stp br0 off”. Zapnutí pak obdobně pomocí “brctl stp br0 on”.

5b. Trvalé zakázání STP zařídíte následujícími dvěma příkazy a restartem zařízení.

“nvram set lan_stp=0”
“nvram commit”
“reboot”

Přečteno 1,025x, z toho 1x dnes.