NESTA PÁGINA
Exemplo: Proteção contra ataques de servidores DHCP desonestos
Em um ataque de servidor DHCP desonesto, um invasor introduziu um servidor desonesto na rede, permitindo que ele dê leasings de endereço IP aos clientes DHCP da rede e atribua-se como o dispositivo de gateway.
Este exemplo descreve como configurar uma interface de servidor DHCP como não confiável para proteger o switch de um servidor DHCP desonesto:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX ou um switch QFX3500
Junos OS Versão 9.0 ou posterior para switches da Série EX ou Junos OS Versão 12.1 ou posterior para a Série QFX
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Antes de configurar uma interface de servidor DHCP não confiável para mitigar ataques de servidor DHCP desonestos, certifique-se de ter:
Conectou o servidor DHCP ao switch.
Permitiu que o DHCP bisbilhotasse a VLAN.
Configurou uma VLAN no switch. Veja a tarefa para sua plataforma:
Visão geral e topologia
As LANs Ethernet são vulneráveis a ataques de spoofing e DoS em dispositivos de rede. Este exemplo descreve como proteger o switch contra ataques de servidor DHCP desonestos.
Este exemplo mostra como configurar explicitamente uma interface não confiável em um switch EX3200-24P e em um switch QFX3500. A Figura 1 ilustra a topologia para este exemplo.
Topologia
básica de portas
Os componentes da topologia para este exemplo são mostrados na Tabela 1.
| Configurações de propriedades | |
|---|---|
Hardware do switch |
Um ex3200-24P, 24 portas (8 portas PoE) ou um switch QFX3500 |
Nome e ID da VLAN |
funcionário-vlan, tag 20 |
Sub-redes VLAN |
192.0.2.16/28 192.0.2.17 a 192.0.2.30192.0.2.31 é o endereço de transmissão da sub-rede |
Interfaces em funcionários-vlan |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Interface para servidor DHCP |
ge-0/0/8 |
Neste exemplo, o switch já foi configurado da seguinte forma:
O acesso seguro de porta é ativado no switch.
A espionagem DHCP está habilitada no VLAN employee-vlan.
A interface (porta) onde o servidor DHCP desonesto se conectou ao switch é atualmente confiável.
Configuração
Para configurar a interface de servidor DHCP como não confiável porque a interface está sendo usada por um servidor DHCP desonesto:
Procedimento
Configuração rápida da CLI
Para definir rapidamente a interface de servidor DHCP não confiável, copie o seguinte comando e cole-a na janela terminal do switch:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
Procedimento passo a passo
Definir a interface do servidor DHCP como não confiável:
Especifique a interface (porta) da qual as respostas DHCP não são permitidas:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
Resultados
Confira os resultados da configuração:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando se a interface do servidor DHCP não é confiável
Propósito
Verifique se o servidor DHCP não é confiável.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.
Exibir as informações de espionagem do DHCP quando a porta em que o servidor DHCP se conecta ao switch não é confiável.
Significado
Não há saída do comando porque nenhuma entrada é adicionada ao banco de dados de espionagem DHCP.