Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entendendo o IP Source Guard para segurança de portas em switches

Os switches LAN Ethernet são vulneráveis a ataques que envolvem falsificação (falsificação) de endereços IP de origem ou endereços MAC de origem. Você pode usar o recurso de segurança da porta de acesso de proteção de origem IP para mitigar os efeitos desses ataques.

Spoofing de endereço IP

Hosts em interfaces de acesso podem falsificar endereços IP de origem e endereços MAC de origem inundando o switch com pacotes contendo endereços inválidos. Esses ataques combinados com outras técnicas, como ataques de inundação TCP SYN, podem causar ataques de negação de serviço (DoS). Com o endereço IP de origem ou spoofing de endereço MAC de origem, o administrador do sistema não pode identificar a origem do ataque. O invasor pode falsificar endereços na mesma sub-rede ou em uma sub-rede diferente.

Como funciona o IP Source Guard

O guarda de origem IP examina cada pacote enviado de um host conectado a uma interface de acesso não confiável no switch. O endereço IP, endereço MAC, VLAN e interface associados ao host são verificados em entradas armazenadas no banco de dados de espionagem DHCP. Se o cabeçalho de pacote não corresponder a uma entrada válida no banco de dados de espionagem DHCP, o switch não encaminha o pacote — ou seja, o pacote é descartado.

Nota:
  • Se o seu switch usar o Junos OS para a Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS) aprimorado, o uso do DHCP é ativado automaticamente quando você habilita o proteção de origem IP em um VLAN. Veja a configuração da proteção de origem IP (ELS).

  • Se o seu switch usa o Junos OS para a Série EX sem suporte ao estilo de configuração de Software de Camada 2 (ELS) aprimorado e permite a proteção de origem IP em um VLAN, você também deve habilitar explicitamente o DHCP a utilizar esse VLAN. Caso contrário, o valor padrão de nenhuma espionagem DHCP se aplica ao VLAN. Veja a configuração da proteção de origem IP (não ELS).

O guarda de origem IP examina pacotes enviados de interfaces de acesso não confiáveis nessas VLANs. Por padrão, as interfaces de acesso não são confiáveis e as interfaces de tronco são confiáveis. O guarda de origem IP não examina pacotes que foram enviados ao switch por dispositivos conectados a interfaces confiáveis para que um servidor DHCP possa ser conectado a essa interface para fornecer endereços IP dinâmicos.

Nota:

Em um switch EX9200, você pode definir uma interface de tronco de untrusted modo que ela suporte a proteção de origem IP.

Guarda-fonte IPv6

O guarda-fonte IPv6 está disponível em switches que oferecem suporte ao DHCPv6. Para determinar se seu switch oferece suporte ao DHCPv6, consulte o Feature Explorer.

A mesa de espionagem DHCP

O guarda de origem IP obtém informações sobre endereço IP para vinculações de endereços MAC (vinculação IP-MAC) da tabela de espionagem DHCP, também conhecida como tabela de vinculação DHCP. A tabela de espionagem DHCP é povoada por meio de espionagem dhcp dinâmica ou através da configuração de endereço IP estático específico para vinculações de endereço MAC. Para obter mais informações sobre a tabela de espionagem DHCP, consulte Understanding DHCP Snooping (ELS).

Para exibir a tabela de espionagem DHCP, emita o comando de modo operacional que aparece no CLI do switch.

Para o dhcp bisbilhoteiro:

Para o DHCPv6:

Usos típicos de outros recursos do Junos OS com o IP Source Guard

Você pode configurar o proteção de origem IP com vários outros recursos de segurança de porta, incluindo:

  • Marcação de VLAN (usada para VLANs de voz)

  • GRES (switchover gracioso do mecanismo de roteamento)

  • Configurações do Virtual Chassis

  • Grupos de agregação de links (LAGs)

  • Autenticação do usuário 802.1X em um único suplicante, suplicante de segurança única ou modo suplicante múltiplo.

    Nota:

    Ao mesmo tempo em que implementa a autenticação do usuário 801.X em um único modo suplicante ou múltiplo suplicante, use as seguintes diretrizes de configuração:

    • Se a interface 802.1X faz parte de um VLAN não registrado baseado em MAC e você deseja habilitar o guarda de origem IP e o DHCP a bisbilhotar esse VLAN, você deve habilitar o guarda de origem IP e o DHCP bisbilhotando todas as VLANs dinâmicas nas quais a interface não foi registrada. Isso também se aplica ao guarda-fonte IPv6 e ao dhCPv6.

    • Se a interface 802.1X faz parte de um VLAN baseado em MAC marcado e você quiser habilitar o guarda de origem IP e o DHCP a bisbilhotar esse VLAN, você deve habilitar o guarda de origem IP e o DHCP bisbilhotando todas as VLANs dinâmicas nas quais a interface tem membros marcados. Isso também se aplica ao guarda-fonte IPv6 e ao dhCPv6.