Entendendo a opção DHCP 82
Você pode usar a opção DHCP 82, também conhecida como opção de informações do agente de transmissão DHCP, para ajudar a proteger dispositivos juniper suportados contra ataques, incluindo spoofing (forjação) de endereços IP e endereços MAC, e endereços IP DHCP.
Em um cenário comum, vários hosts são conectados à rede por meio de interfaces de acesso não confiáveis no switch, e esses hosts solicitam e são atribuídos endereços IP do servidor DHCP. Agentes ruins podem falsificar solicitações de DHCP usando endereços de rede falsos, no entanto, para obter uma conexão imprópria com a rede.
Para se proteger contra essa vulnerabilidade, a RFC 3046, DHCP Relay Agent Information Option, http://tools.ietf.org/html/rfc3046 descreve um padrão conhecido como Opção 82 que define como o servidor DHCP pode usar a localização de um cliente DHCP ao atribuir endereços IP ou outros parâmetros ao cliente.
Visão geral da opção DHCP 82
Se a opção DHCP 82 estiver habilitada em uma VLAN ou domínio de ponte, então quando um dispositivo de rede — um cliente DHCP — conectado ao VLAN ou domínio de ponte em uma interface não confiável envia uma solicitação de DHCP, o dispositivo de comutação insere informações sobre a localização da rede do cliente no cabeçalho do pacote dessa solicitação. Em seguida, o dispositivo de comutação envia a solicitação ao servidor DHCP. O servidor DHCP lê as informações da opção 82 no cabeçalho do pacote e as usa para implementar o endereço IP ou outro parâmetro para o cliente. Consulte componentes de subopção da opção 82 para obter mais informações sobre a opção 82.
Nos switches EX4300, as informações da opção DHCP 82 são adicionadas aos pacotes DHCP recebidos em interfaces confiáveis e interfaces não confiáveis.
Se a opção 82 estiver habilitada em um domínio de VLAN ou ponte, a sequência a seguir de eventos ocorre quando um cliente DHCP envia uma solicitação de DHCP:
O dispositivo de comutação recebe a solicitação e insere a opção 82 informações no cabeçalho do pacote.
O dispositivo de comutação encaminha (ou retransmite) a solicitação ao servidor DHCP.
O servidor usa as informações da opção DHCP 82 para formular sua resposta e envia uma resposta ao dispositivo de comutação. Ele não altera as informações da opção 82.
O dispositivo de comutação tira a opção 82 informações do pacote de resposta.
O dispositivo de comutação encaminha o pacote de resposta ao cliente.
Para usar o recurso dhcp opção 82, você deve garantir que o servidor DHCP está configurado para aceitar a opção 82. Se o servidor DHCP não estiver configurado para aceitar a opção 82, então quando ele recebe solicitações contendo informações da opção 82, ele não usa as informações para definir parâmetros e não ecoa as informações em sua mensagem de resposta.
Se o seu dispositivo de comutação for um switch da Série EX e usar o Junos OS com estilo de configuração aprimorado de Software de Camada 2 (ELS), você pode habilitar a opção DHCP 82 apenas para uma VLAN específica. Veja a configuração da opção DHCP 82 no switch sem retransmissão (ELS).
Se o seu dispositivo de comutação for um switch da Série EX e não usar o Junos OS com estilo de configuração de Software de Camada 2 (ELS) aprimorado, você pode habilitar a opção DHCP 82 para um VLAN específico ou para todas as VLANs. Veja a configuração da opção DHCP 82 no switch sem retransmissão (sem ELS).
Componentes de subopção da opção 82
A opção 82 implementada em um dispositivo de comutação inclui a ID do circuito de subopções, ID remoto e ID do fornecedor. Essas subopções são campos no cabeçalho do pacote:
ID do circuito — identifica o circuito (interface ou VLAN) no dispositivo de comutação no qual a solicitação foi recebida. O ID do circuito contém o nome da interface e o nome VLAN, com os dois elementos separados por um cólon — por exemplo, ge-0/0/10:vlan1, onde ge-0/0/10 é o nome da interface e vlan1 é o nome VLAN. Se o pacote de solicitação for recebido em uma interface de Camada 3, o ID do circuito é apenas o nome da interface — por exemplo, ge-0/0/10.
Use a opção de prefixo para adicionar um prefixo opcional ao ID do circuito. Se você habilitar a opção de prefixo, o nome de host para o dispositivo de comutação é usado como prefixo; por exemplo, dispositivo1:ge-0/0/10:vlan1, onde o dispositivo1 é o nome de host.
Você também pode especificar que a descrição da interface seja usada em vez do nome da interface ou que o ID VLAN seja usado em vez do nome VLAN.
ID remoto — identifica o host remoto. Veja a id remota para obter mais detalhes.
ID do fornecedor — identifica o fornecedor do host. Se você especificar a opção
vendor-id
, mas não inserir um valor, o valor padrão da Juniper é usado. Para especificar um valor, você digita uma corda de caractere.
Configurações de dispositivos de comutação que oferecem suporte à opção 82
As configurações de dispositivos de comutação que oferecem suporte à opção 82 são:
- Dispositivo de comutação, clientes DHCP e o servidor DHCP estão no mesmo domínio VLAN ou Bridge
- Dispositivo de comutação atua como um agente de retransmissão
Dispositivo de comutação, clientes DHCP e o servidor DHCP estão no mesmo domínio VLAN ou Bridge
Se o dispositivo de comutação, os clientes DHCP e o servidor DHCP estiverem todos no mesmo domínio VLAN ou bridge, o dispositivo de comutação encaminha as solicitações dos clientes em interfaces de acesso não confiáveis para o servidor em uma interface confiável. Veja a Figura 1.
Dispositivo de comutação atua como um agente de retransmissão
O dispositivo de comutação funciona como um agente de retransmissão (servidor de transmissão estendida) quando os clientes DHCP ou o servidor DHCP são conectados ao dispositivo de comutação por uma interface de Camada 3. No dispositivo de comutação, essas interfaces são configuradas como interfaces VLAN roteadas (RVIs). A Figura 2 ilustra um cenário para o dispositivo de comutação atuar como um servidor de transmissão estendido; neste caso, o dispositivo de comutação transmite solicitações ao servidor. Esse número mostra o agente de transmissão e o servidor na mesma rede, mas eles também podem estar em redes diferentes — ou seja, o agente de retransmissão pode ser externo.
Opções de DHCPv6
O DHCPv6 oferece várias opções que podem ser usadas para inserir informações nos pacotes de solicitação DHCPv6 que são transmitidos a um servidor de um cliente. Essas opções são equivalentes às sub opções da opção DHCP 82.
Opção 37 — identifica o host remoto. A opção 37 equivale à subopção da opção
remote-id
DHCP 82.Opção 18 — identifica a interface na qual o pacote de solicitação de DHCP foi recebido do cliente. A opção 18 equivale à subopção da opção
circuit-id
DHCP 82.Opção 16 — identifica o fornecedor do hardware no qual o cliente está hospedado. A opção 16 equivale à subopção da opção
vendor-id
DHCP 82.
As opções DHCPv6 não são habilitadas automaticamente quando a espionagem DHCPv6 é habilitada em uma VLAN. Eles devem ser configurados usando a dhcpv6-options
declaração.