Dynamic Trunk Protocol (DTP) 취약점

Dynamic Trunk Protocol (DTP)

 :  한쪽 포트가 이 트렁크로 셋팅했을때 반대 쪽도 트렁크 포트로 셋팅되게 끔 하는 프로토콜

다중 VLAN환경에서 사용하는 Protocol

트렁크 방식이 두가지 타입 :IEEE 820.1q Cisco ISL

*참고 
mode : 4가지

trunk

access

dynamic : auto 
desiable (default)

 

취약점 : 스위치 포트의 기본은 :access(VLAN1)    

하지만 한쪽포트에서 trunk포트가 설정되면 DTP 동작에 따라 반대쪽 편도 trunk포트가 된다

공격자가 포트를 임의로 트렁크로 바꾸게끔 할 수 있다.

Trunk포트로 자동설정된다면 문제점 :

STP 계산 : 기존의 루트 스위치가 변경 > 토포로지 변경 > blocking port 발생

VTP 전송 : 다중 Vlan 환경에서 Vlan정보를 전달함으로써 기존의 Vlan access port에 연결된 pc는 통신을 할 수 가 없다.

대응방법

그래서 수동으로 이 포트는 access port다!!!라고 설정
스위치 포트의 모드를 강제로 지정해준다. 

# switchport mode access

# switchport nonegotiate [협상을 비활성화]