Entendendo a opção DHCP 82

Você pode usar a opção DHCP 82, também conhecida como opção de informações do agente de transmissão DHCP, para ajudar a proteger dispositivos juniper suportados contra ataques, incluindo spoofing (forjação) de endereços IP e endereços MAC, e endereços IP DHCP.

Em um cenário comum, vários hosts são conectados à rede por meio de interfaces de acesso não confiáveis no switch, e esses hosts solicitam e são atribuídos endereços IP do servidor DHCP. Agentes ruins podem falsificar solicitações de DHCP usando endereços de rede falsos, no entanto, para obter uma conexão imprópria com a rede.

Para se proteger contra essa vulnerabilidade, a RFC 3046, DHCP Relay Agent Information Option, http://tools.ietf.org/html/rfc3046 descreve um padrão conhecido como Opção 82 que define como o servidor DHCP pode usar a localização de um cliente DHCP ao atribuir endereços IP ou outros parâmetros ao cliente.

Visão geral da opção DHCP 82

Se a opção DHCP 82 estiver habilitada em uma VLAN ou domínio de ponte, então quando um dispositivo de rede — um cliente DHCP — conectado ao VLAN ou domínio de ponte em uma interface não confiável envia uma solicitação de DHCP, o dispositivo de comutação insere informações sobre a localização da rede do cliente no cabeçalho do pacote dessa solicitação. Em seguida, o dispositivo de comutação envia a solicitação ao servidor DHCP. O servidor DHCP lê as informações da opção 82 no cabeçalho do pacote e as usa para implementar o endereço IP ou outro parâmetro para o cliente. Consulte componentes de subopção da opção 82 para obter mais informações sobre a opção 82.

Nota:

Nos switches EX4300, as informações da opção DHCP 82 são adicionadas aos pacotes DHCP recebidos em interfaces confiáveis e interfaces não confiáveis.

Se a opção 82 estiver habilitada em um domínio de VLAN ou ponte, a sequência a seguir de eventos ocorre quando um cliente DHCP envia uma solicitação de DHCP:

O dispositivo de comutação recebe a solicitação e insere a opção 82 informações no cabeçalho do pacote.
O dispositivo de comutação encaminha (ou retransmite) a solicitação ao servidor DHCP.
O servidor usa as informações da opção DHCP 82 para formular sua resposta e envia uma resposta ao dispositivo de comutação. Ele não altera as informações da opção 82.
O dispositivo de comutação tira a opção 82 informações do pacote de resposta.
O dispositivo de comutação encaminha o pacote de resposta ao cliente.

Para usar o recurso dhcp opção 82, você deve garantir que o servidor DHCP está configurado para aceitar a opção 82. Se o servidor DHCP não estiver configurado para aceitar a opção 82, então quando ele recebe solicitações contendo informações da opção 82, ele não usa as informações para definir parâmetros e não ecoa as informações em sua mensagem de resposta.

Nota:

Se o seu dispositivo de comutação for um switch da Série EX e usar o Junos OS com estilo de configuração aprimorado de Software de Camada 2 (ELS), você pode habilitar a opção DHCP 82 apenas para uma VLAN específica. Veja a configuração da opção DHCP 82 no switch sem retransmissão (ELS).

Se o seu dispositivo de comutação for um switch da Série EX e não usar o Junos OS com estilo de configuração de Software de Camada 2 (ELS) aprimorado, você pode habilitar a opção DHCP 82 para um VLAN específico ou para todas as VLANs. Veja a configuração da opção DHCP 82 no switch sem retransmissão (sem ELS).

Componentes de subopção da opção 82

A opção 82 implementada em um dispositivo de comutação inclui a ID do circuito de subopções, ID remoto e ID do fornecedor. Essas subopções são campos no cabeçalho do pacote:

ID do circuito — identifica o circuito (interface ou VLAN) no dispositivo de comutação no qual a solicitação foi recebida. O ID do circuito contém o nome da interface e o nome VLAN, com os dois elementos separados por um cólon — por exemplo, ge-0/0/10:vlan1, onde ge-0/0/10 é o nome da interface e vlan1 é o nome VLAN. Se o pacote de solicitação for recebido em uma interface de Camada 3, o ID do circuito é apenas o nome da interface — por exemplo, ge-0/0/10.

Use a opção de prefixo para adicionar um prefixo opcional ao ID do circuito. Se você habilitar a opção de prefixo, o nome de host para o dispositivo de comutação é usado como prefixo; por exemplo, dispositivo1:ge-0/0/10:vlan1, onde o dispositivo1 é o nome de host.

Você também pode especificar que a descrição da interface seja usada em vez do nome da interface ou que o ID VLAN seja usado em vez do nome VLAN.
ID remoto — identifica o host remoto. Veja a id remota para obter mais detalhes.
ID do fornecedor — identifica o fornecedor do host. Se você especificar a opção vendor-id , mas não inserir um valor, o valor padrão da Juniper é usado. Para especificar um valor, você digita uma corda de caractere.

Configurações de dispositivos de comutação que oferecem suporte à opção 82

As configurações de dispositivos de comutação que oferecem suporte à opção 82 são:

Dispositivo de comutação, clientes DHCP e o servidor DHCP estão no mesmo domínio VLAN ou Bridge
Dispositivo de comutação atua como um agente de retransmissão

Dispositivo de comutação, clientes DHCP e o servidor DHCP estão no mesmo domínio VLAN ou Bridge

Se o dispositivo de comutação, os clientes DHCP e o servidor DHCP estiverem todos no mesmo domínio VLAN ou bridge, o dispositivo de comutação encaminha as solicitações dos clientes em interfaces de acesso não confiáveis para o servidor em uma interface confiável. Veja a Figura 1.

Figura 1: Clientes DHCP, dispositivo de comutação e servidor DHCP estão todos no mesmo domínio DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain

DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain

VLAN ou Bridge

Dispositivo de comutação atua como um agente de retransmissão

O dispositivo de comutação funciona como um agente de retransmissão (servidor de transmissão estendida) quando os clientes DHCP ou o servidor DHCP são conectados ao dispositivo de comutação por uma interface de Camada 3. No dispositivo de comutação, essas interfaces são configuradas como interfaces VLAN roteadas (RVIs). A Figura 2 ilustra um cenário para o dispositivo de comutação atuar como um servidor de transmissão estendido; neste caso, o dispositivo de comutação transmite solicitações ao servidor. Esse número mostra o agente de transmissão e o servidor na mesma rede, mas eles também podem estar em redes diferentes — ou seja, o agente de retransmissão pode ser externo.

Figura 2: dispositivo de comutação atuando como um servidor Switching Device Acting as an Extended Relay Server

de transmissão estendido

Opções de DHCPv6

O DHCPv6 oferece várias opções que podem ser usadas para inserir informações nos pacotes de solicitação DHCPv6 que são transmitidos a um servidor de um cliente. Essas opções são equivalentes às sub opções da opção DHCP 82.

Opção 37 — identifica o host remoto. A opção 37 equivale à subopção da opção remote-id DHCP 82.
Opção 18 — identifica a interface na qual o pacote de solicitação de DHCP foi recebido do cliente. A opção 18 equivale à subopção da opção circuit-id DHCP 82.
Opção 16 — identifica o fornecedor do hardware no qual o cliente está hospedado. A opção 16 equivale à subopção da opção vendor-id DHCP 82.

As opções DHCPv6 não são habilitadas automaticamente quando a espionagem DHCPv6 é habilitada em uma VLAN. Eles devem ser configurados usando a dhcpv6-options declaração.

NESTA PÁGINA