Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Proteção contra spoofing de endereços e ataques do DoS de Camada 2

Você pode configurar a espionagem DHCP, a inspeção dinâmica de ARP (DAI) e a limitação de MAC nas interfaces de acesso de um switch para proteger o switch e a LAN Ethernet contra spoofing de endereços e ataques de negação de serviço (DoS) de Camada 2. Para obter as configurações básicas para esses recursos, você pode usar a configuração padrão do switch para segurança de porta, configurar o limite MAC e habilitar a espionagem DHCP e DAI em uma VLAN. Você pode configurar esses recursos quando o servidor DHCP está conectado a um switch que é diferente daquele ao qual os clientes DHCP (dispositivos de rede) estão conectados.

Este exemplo descreve como configurar recursos de segurança de porta em um switch cujos hosts obtêm endereços IP e tempos de locação de um servidor DHCP conectado a um segundo switch:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um switch da Série EX ou switch QFX3500 — Switch 1 neste exemplo.

  • Outro switch da Série EX ou switch QFX3500 — Switch 2 neste exemplo. Você não configura a segurança de porta neste segundo switch.

  • Junos OS Versão 9.0 ou posterior para switches da Série EX ou Junos OS Versão 12.1 ou posterior para a Série QFX.

  • Um servidor DHCP conectado ao Switch 2. Você usa o servidor para fornecer endereços IP a dispositivos de rede conectados ao Switch 1.

  • Pelo menos dois dispositivos de rede (hosts) que você conecta a interfaces de acesso no Switch 1. Esses dispositivos são clientes DHCP.

Antes de configurar a espionagem dhcp, DAI e MAC limitando recursos de segurança de porta, certifique-se de ter:

Visão geral e topologia

As LANs Ethernet são vulneráveis a ataques de spoofing e DoS em dispositivos de rede. Para proteger os dispositivos contra esses ataques, você pode configurar:

  • Espionagem DHCP para validar mensagens de servidor DHCP

  • DAI para proteger contra spoofing de ARP

  • LIMITAÇÃO MAC para restringir o número de endereços MAC que o switch adiciona ao seu cache de endereço MAC

Este exemplo mostra como configurar esses recursos de segurança de porta no Switch 1. O Switch 1 está conectado a outro switch (Switch 2), que não está configurado com recursos de segurança de porta. O switch 2 está conectado a um servidor DHCP (ver Figura 1.) Os dispositivos de rede (hosts) conectados ao Switch 1 enviam solicitações de endereços IP (esses dispositivos de rede são clientes DHCP). Essas solicitações são transmitidas do Switch 1 para o Switch 2 e depois para o servidor DHCP conectado ao Switch 2. As respostas às solicitações são transmitidas ao longo do caminho inverso do seguido pelas solicitações.

A configuração para este exemplo inclui a VLAN employee-vlan em ambos os switches.

A Figura 1 mostra a topologia da rede, por exemplo.

Topologia

Figura 1: Topologia de rede para configuração de segurança de porta com dois switches na mesma VLAN Network Topology for Port Security Setup with Two Switches on the Same VLAN

Os componentes da topologia para este exemplo são mostrados na Tabela 1.

Tabela 1: Componentes da configuração de segurança de porta no Switch 1 com um servidor DHCP conectado ao switch 2
Configurações de propriedades

Hardware do switch

Um switch da Série EX ou um switch QFX3500 (Switch 1) e outro switch da Série EX ou switch de QFX3500 (Switch 2)

Nome e ID da VLAN

employee-vlanetiqueta 20

Sub-redes VLAN

192.0.2.16/28192.0.2.17 através 192.0.2.30192.0.2.31 é o endereço de transmissão da sub-rede

Interface de tronco em ambos os switches

ge-0/0/11

Interfaces de acesso no Switch 1

ge-0/0/1, ge-0/0/2 e ge-0/0/3

Interface de acesso no Switch 2

ge-0/0/1

Interface para servidor DHCP

ge-0/0/1 no Switch 2

O Switch 1 está configurado inicialmente com a configuração padrão de segurança da porta. Na configuração padrão do switch:

  • O acesso seguro de porta é ativado no switch.

  • O switch não descarta nenhum pacote, que é a configuração padrão.

  • A espionagem DHCP e o DAI são desativados em todas as VLANs.

  • Todas as interfaces de acesso são não confiáveis e as interfaces de tronco são confiáveis; estas são as configurações padrão.

Nas tarefas de configuração para este exemplo, você configura uma VLAN em ambos os switches.

Além de configurar a VLAN, você habilita a espionagem DHCP no Switch 1. Neste exemplo, você também habilita o DAI e um limite MAC do 5 Switch 1.

Como a interface que conecta o Switch 2 ao Switch 1 é uma interface de tronco, você não precisa configurar essa interface para ser confiável. Como observado acima, as interfaces de tronco são automaticamente confiáveis, de modo que as mensagens DHCP vindas do servidor DHCP para o Switch 2 e depois para o Switch 1 são confiáveis.

Configurando uma VLAN, interfaces e recursos de segurança de porta no Switch 1

Procedimento

Configuração rápida da CLI

Para configurar rapidamente uma VLAN, interfaces e recursos de segurança de porta, copie os seguintes comandos e cole-os na janela de terminal do switch:

Procedimento passo a passo

Para configurar o limite de MAC, uma VLAN e interfaces no Switch 1 e habilitar DAI e DHCP na VLAN:

  1. Configure a VLAN employee-vlan com o VLAN ID 20:

  2. Configure uma interface no Switch 1 como uma interface de tronco:

  3. Associe o VLAN com interfaces ge-0/0/1, ge-0/0/2, ge-0/0/3 e ge-0/0/11:

  4. Habilite a espionagem do DHCP na VLAN:

  5. Habilite o DAI na VLAN:

  6. Configure um limite MAC de 5 ge-0/0/1 e use a ação padrão, drop (pacotes com novos endereços são descartados se o limite for excedido):

  7. Libere as entradas existentes da tabela de endereços MAC da interface ge-0/0/1:

Resultados

Exibir os resultados da configuração:

Configurando uma VLAN e interfaces no Switch 2

Para configurar a VLAN e as interfaces no Switch 2:

Procedimento

Configuração rápida da CLI

Para configurar rapidamente a VLAN e as interfaces no Switch 2, copie os seguintes comandos e cole-os na janela de terminal do switch:

Procedimento passo a passo

Para configurar a VLAN e as interfaces no Switch 2:

  1. Configure a VLAN employee-vlan com o VLAN ID 20:

  2. Configure uma interface no Switch 2 como uma interface de tronco:

  3. Associe o VLAN com interfaces ge-0/0/1 e ge-0/0/11:

Resultados

Exibir os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente.

Verificar se a snooping do DHCP está funcionando corretamente no Switch 1

Propósito

Verifique se a espionagem de DHCP está funcionando no Switch 1.

Ação

Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.

emite o comando show dhcp snooping binding de modo operacional para exibir as informações de espionagem DHCP quando a interface pela qual o Switch 2 envia o servidor DHCP responde aos clientes conectados ao Switch 1 é confiável. O servidor forneceu os endereços IP e leasings:

Significado

A saída mostra, para cada endereço MAC, o endereço IP atribuído e o tempo de locação — ou seja, o tempo, em segundos, permanecendo antes da expiração do leasing.

Verificar se a DAI está funcionando corretamente no Switch 1

Propósito

Verifique se a DAI está funcionando no Switch 1.

Ação

Envie algumas solicitações de ARP de dispositivos de rede conectados ao switch.

Emita o comando show arp inspection statistics do modo operacional para exibir as informações da DAI:

Significado

A saída mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O switch compara as solicitações de ARP e as respostas com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados, o pacote será descartado.

Verificar se a limitação do MAC está funcionando corretamente no Switch 1

Propósito

Verifique se a limitação do MAC está funcionando no Switch 1.

Ação

Emita o comando show ethernet-switching table de modo operacional para exibir os endereços MAC que são aprendidos quando as solicitações de DHCP são enviadas dos hosts no ge-0/0/1:

Significado

A saída mostra que cinco endereços MAC foram aprendidos para interface ge-0/0/1, o que corresponde ao limite MAC do 5 conjunto na configuração. A última linha da saída mostra que uma sexta solicitação de endereço MAC foi descartada, conforme indicado pelo asterisco (*) na MAC address coluna.