Visão geral da segurança de portas
Recursos de segurança de porta
As LANs Ethernet são vulneráveis a ataques como spoofing de endereços (forja) e negação de serviço (DoS) de Camada 2 em dispositivos de rede. Os recursos de segurança da porta ajudam a proteger as portas de acesso em seu dispositivo contra a perda de informações e produtividade que esses ataques podem causar.
O Junos OS é reforçado com a separação dos planos de encaminhamento de controle e serviços, com cada função funcionando em memória protegida. A CPU do plano de controle é protegida por limitação de taxa, política de roteamento e filtros de firewall para garantir o tempo de atividade do switch mesmo sob ataque severo.
O Junos OS oferece recursos para ajudar a proteger portas em um dispositivo. As portas podem ser categorizadas como confiáveis ou não confiáveis. Você aplica políticas apropriadas a cada categoria para proteger portas contra vários tipos de ataques.
Recursos de segurança de porta de acesso, como inspeção dinâmica do Protocolo de Resolução de Endereços (ARP), espionagem DHCP e limitação de MAC são controlados por um único comando Junos OS CLI. Os recursos básicos de segurança da porta estão habilitados na configuração padrão do dispositivo. Você pode configurar recursos adicionais com etapas mínimas de configuração. Dependendo do recurso específico, você pode configurar o recurso em VLANs ou interfaces de domínio de ponte.
Começando com o Junos OS Release 18.4R1, a espionagem DHCP ocorre em portas confiáveis para os seguintes switches da Série Juniper, EX2300, EX4600 e QFX5K. Antes do Junos OS Release 18.4R1, para esses dispositivos, isso só era verdade para o DHCPv6. Além disso, o dhcp ocorre em portas confiáveis para switches da Série EX9200, e Fusion Enterprises, que estão executando o Junos OS Release 19.1R1 e posterior.
Os switches Ethernet da Série EX da Juniper Networks fornecem os seguintes recursos de segurança de hardware e software:
Console Port— permite que o uso da porta do console se conecte ao mecanismo de roteamento por um cabo RJ-45. Em seguida, você usa a interface de linha de comando (CLI) para configurar o switch.
Out-of-Band Management— Uma porta Ethernet de gerenciamento dedicada no painel traseiro permite o gerenciamento fora da banda.
Software Images— Todas as imagens do Junos OS são assinadas pela Autoridade de Certificados (CA) da Juniper Networks com infraestrutura de chave pública (PKI).
User Authentication, Authorization, and Accounting (AAA)— Os recursos incluem:
Contas de usuários e grupos com criptografia e autenticação de senhas.
Acesso a níveis de privilégio configuráveis para aulas de login e modelos de usuário.
Autenticação RADIUS, autenticação TACACS+ ou ambos para autenticar usuários que tentam acessar o switch.
Auditoria de mudanças de configuração por meio de registro de sistema ou RADIUS/TACACS+.
802.1X Authentication— Fornece controle de acesso à rede. Os suplicantes (hosts) são autenticados quando se conectam inicialmente a uma LAN. Autenticar suplicantes antes de receber um endereço IP de um servidor DHCP impede que suplicantes não autorizados tenham acesso à LAN. Os switches da Série EX oferecem suporte a métodos de Protocolo de Autenticação Extensível (EAP), incluindo EAP-MD5, EAP-TLS, EAP-TTLS e EAP-PEAP.
Port Security— Os recursos de segurança da porta de acesso suportados em dispositivos de comutação são::
O dhcp bisbilhoteiro — Filtra e bloqueia mensagens de servidor do Protocolo dinâmico de configuração de host (DHCP) em portas não confiáveis, e constrói e mantém um banco de dados de informações de locação DHCP, que é chamado de banco de dados de espionagem DHCP.
Nota:O uso de DHCP não está habilitado na configuração padrão do dispositivo de comutação. A espionagem DHCP está habilitada em um domínio de VLAN ou ponte. Os detalhes da habilitação do DHCP dependem do dispositivo em particular.
Servidor DHCP confiável — configurar o servidor DHCP em uma porta confiável protege contra servidores DHCP desonestos que enviam leasings. Você habilita esse recurso em uma interface (porta). Por padrão, as portas de acesso não são confiáveis e as portas de tronco são confiáveis. (Portas de acesso são as portas de switch que se conectam a endpoints Ethernet, como PCs de usuário e laptops, servidores e impressoras. Portas de tronco são as portas de switch que conectam um switch Ethernet a outros switches ou a roteadores.)
DHCPv6 bisbilhotando — DHCP bisbilhotando para IPv6.
Opção DHCP 82 — também conhecida como a opção de informações do agente de retransmissão DHCP. Este recurso DHCPv4 ajuda a proteger o dispositivo de comutação contra ataques, como spoofing de endereços IP e endereços MAC e endereços DHCP IP. A opção 82 fornece informações sobre a localização da rede de um cliente DHCP, e o servidor DHCP usa essas informações para implementar endereços IP ou outros parâmetros para o cliente.
Opção DHCPv6 37 — A opção 37 é a opção de ID remoto para DHCPv6 e é usada para inserir informações sobre a localização da rede do host remoto em pacotes DHCPv6. Você habilita a opção 37 em um VLAN.
Nota:O DHCPv6 com a opção 37 não é compatível com a Série MX.
Opção DHCPv6 18 — A opção 18 é a opção de ID de circuito para DHCPv6 e é usada para inserir informações sobre a porta do cliente em pacotes DHCPv6. Essa opção inclui outros detalhes que podem ser configurados opcionalmente, como o prefixo e a descrição da interface.
Opção DHCPv6 16 — A opção 16 é a opção de ID do fornecedor para DHCPv6 e é usada para inserir informações sobre o fornecedor do hardware do cliente em pacotes DHCPv6.
Inspeção dinâmica de ARP (DAI)— impede ataques de spoofing do Protocolo de Resolução de Endereços (ARP). As solicitações e respostas de ARP são comparadas com entradas no banco de dados de espionagem DHCP, e as decisões de filtragem são tomadas com base nos resultados dessas comparações. Você habilita a DAI em um VLAN.
Inspeção de descoberta de vizinhos IPv6 — evita ataques de falsificação de endereços IPv6. As solicitações e respostas de descoberta de vizinhos são comparadas com entradas no banco de dados de espionagem DHCPv6, e as decisões de filtragem são tomadas com base nos resultados dessas comparações. Você permite a inspeção de descoberta de vizinhos em um VLAN.
Proteção de origem IP — Reduz os efeitos dos ataques de spoofing de endereços IP na LAN Ethernet. Com o proteção de origem IP habilitado, o endereço IP de origem no pacote enviado de uma interface de acesso não confiável é validado no banco de dados de espionagem DHCP. Se o pacote não puder ser validado, ele será descartado. Você habilita o proteção de origem IP em um domínio de VLAN ou ponte.
Proteção de origem IPv6 — proteção de origem IP para IPv6.
Limitação de MAC — Protege contra inundações da tabela de comutação Ethernet (também conhecida como tabela de encaminhamento MAC ou tabela de encaminhamento de Camada 2). Você pode habilitar a limitação de MAC em uma interface.
Limitação de movimento MAC — rastreia o movimento MAC e detecta a falsificação de MAC nas portas de acesso. Você habilita este recurso em um domínio de VLAN ou ponte.
Aprendizado mac persistente — também conhecido como MAC pegajoso. O aprendizado mac persistente permite que as interfaces mantenham endereços MAC aprendidos dinamicamente em reinicializações de switches. Você habilita esse recurso em uma interface.
ARP proxy irrestrito — o switch responde a todas as mensagens ARP com seu próprio endereço MAC. Os hosts conectados às interfaces do switch não podem se comunicar diretamente com outros hosts. Em vez disso, todas as comunicações entre hosts passam pelo switch.
ARP de proxy restrito — o switch não responde a uma solicitação de ARP se as redes físicas da origem e alvo da solicitação de ARP forem as mesmas. Não importa se o host de destino tem o mesmo endereço IP que a interface de entrada ou um endereço IP diferente (remoto). Uma solicitação de ARP para um endereço de broadcast não responde.
Device Security— O controle de tempestade permite que o switch monitore o tráfego unicast desconhecido e broadcast e derrube pacotes, ou desligue ou desabite temporariamente a interface quando um nível de tráfego especificado é excedido, impedindo assim que os pacotes proliferam e degradam a LAN. Você pode habilitar o controle de tempestade em interfaces de acesso ou interfaces de tronco.
Encryption Standards— Os padrões suportados incluem:
Padrão avançado de criptografia (AES) de 128, 192 e 256 bits
Padrão de criptografia de dados de 56 bits (DES) e 3DES de 168 bits
Veja também
Entender como proteger as portas de acesso contra ataques comuns
Os recursos de segurança de porta podem proteger os switches Ethernet da Série EX e QFX10000 da Juniper Networks contra vários tipos de ataques. Os métodos de proteção contra alguns ataques comuns são:
- Mitigação de ataques de sobrecarga na tabela de comutação de Ethernet
- Mitigação de ataques de servidorES DHCP desonestos
- Proteção contra ataques spoofing de ARP (não se aplica a switches da Série QFX10000)
- Proteção contra ataques de alteração de banco de dados de espionagem DHCP (não se aplica a switches da Série QFX10000)
- Proteção contra ataques de fome de DHCP
Mitigação de ataques de sobrecarga na tabela de comutação de Ethernet
Em um ataque de sobrecarga na tabela de comutação Ethernet, um intruso envia tantas solicitações de novos endereços MAC que a tabela não pode aprender todos os endereços. Quando o switch não pode mais usar informações na tabela para encaminhar tráfego, ele é forçado a transmitir mensagens. O fluxo de tráfego no switch é interrompido, e os pacotes são enviados para todos os hosts da rede. Além de sobrecarregar a rede com tráfego, o invasor também pode ser capaz de farejar esse tráfego de transmissão.
Para mitigar esses ataques, configure um limite MAC para endereços MAC aprendidos e alguns endereços MAC específicos permitidos. Use o recurso de limitação MAC para controlar o número total de endereços MAC que podem ser adicionados à tabela de comutação Ethernet para a interface ou interfaces especificadas. Ao definir os endereços MAC que são explicitamente permitidos, você garante que os endereços de dispositivos de rede cujo acesso à rede é essencial tenham a garantia de serem incluídos na tabela de comutação Ethernet. Veja exemplo: proteger contra ataques de sobrecarga na tabela de comutação Ethernet.
Você também pode configurar endereços MAC aprendidos para persistir em cada interface. Usado em combinação com um limite MAC configurado, esse aprendizado MAC persistente ajuda a evitar a perda de tráfego após uma reinicialização ou um evento de interface para baixo e também aumenta a segurança da porta limitando os endereços MAC permitidos na interface.
Mitigação de ataques de servidorES DHCP desonestos
Se um invasor configurar um servidor DHCP desonesto para se passar por um servidor DHCP legítimo na LAN, o servidor desonesto pode começar a emitir leasings para os clientes DHCP da rede. As informações fornecidas aos clientes por este servidor desonesto podem interromper o acesso à rede, causando o DoS. O servidor desonesto também pode atribuir-se como o dispositivo de gateway padrão para a rede. O invasor pode então farejar o tráfego de rede e cometer um ataque homem-no-meio — ou seja, desvia o tráfego destinado a um dispositivo de rede legítimo para um dispositivo de sua escolha.
Para mitigar um ataque de servidor DHCP desonesto, defina a interface à qual esse servidor desonesto está conectado como não confiável. Essa ação bloqueará todas as mensagens de servidor DHCP dessa interface. Veja exemplo: Proteção contra ataques de servidor DHCP desonestos.
O switch registra todos os pacotes de servidor DHCP recebidos em portas não confiáveis , por exemplo:
5 DHCPOFFER não confiável recebido, interface ge-0/0/0.0[65], vlan v1[10] servidor ip/mac 12.12.12.1/00:00:00:00:01:12 oferta ip/cliente mac 12.12.12.253/00:AA:BB:CC:DD:01
Você pode usar essas mensagens para detectar servidores DHCP maliciosos na rede.
Para switches da Série QFX, incluindo o QFX10000, se você anexar um servidor DHCP a uma porta de acesso, você deve configurar a porta como confiável.
Proteção contra ataques spoofing de ARP (não se aplica a switches da Série QFX10000)
Em spoofing de ARP, um invasor envia mensagens ARP falsas na rede. O invasor associa seu próprio endereço MAC ao endereço IP de um dispositivo de rede conectado ao switch. Qualquer tráfego enviado para esse endereço IP é enviado ao invasor. Agora, o invasor pode criar vários tipos de maldade, incluindo farejar os pacotes que eram destinados a outro host e cometer ataques de homem no meio. (Em um ataque homem-no-meio, o atacante intercepta mensagens entre dois hosts, lê-as e talvez as altera, tudo sem que os hosts originais saibam que suas comunicações foram comprometidas. )
Para se proteger contra a spoofing de ARP em seu switch, habilite tanto a espionagem DHCP quanto a inspeção dinâmica de ARP (DAI). O DHCP é uma plataforma de espionagem que constrói e mantém a mesa de espionagem DHCP. Essa tabela contém os endereços MAC, endereços IP, tempos de locação, tipos de vinculação, informações de VLAN e informações de interface para as interfaces não confiáveis no switch. O DAI usa as informações na tabela de espionagem DHCP para validar pacotes ARP. Os pacotes ARP inválidos são bloqueados e, quando bloqueados, uma mensagem de log do sistema é gravada que inclui o tipo de pacote ARP e o endereço IP e o endereço MAC do remetente.
Proteção contra ataques de alteração de banco de dados de espionagem DHCP (não se aplica a switches da Série QFX10000)
Em um ataque projetado para alterar o banco de dados de espionagem DHCP, um intruso introduz um cliente DHCP em uma das interfaces de acesso não confiáveis do switch que tem um endereço MAC idêntico ao de um cliente em outra porta não confiável. O intruso adquire o leasing DHCP, o que resulta em mudanças nas entradas na mesa de espionagem DHCP. Posteriormente, as solicitações de ARP válidas do cliente legítimo foram bloqueadas.
Para se proteger contra esse tipo de alteração do banco de dados de espionagem DHCP, configure endereços MAC que são explicitamente permitidos na interface. Veja exemplo: Proteção contra ataques de banco de dados de espionagem DHCP.
Proteção contra ataques de fome de DHCP
Em um ataque de fome de DHCP, um invasor inunda uma LAN Ethernet com solicitações DHCP de endereços MAC falsificados (falsificados) para que os servidores DHCP confiáveis do switch não possam acompanhar as solicitações de clientes DHCP legítimos no switch. O espaço de endereço desses servidores é completamente usado, para que eles não possam mais atribuir endereços IP e tempos de locação aos clientes. As solicitações de DHCP desses clientes são retiradas — ou seja, o resultado é uma negação de serviço (DoS)— ou direcionadas a um servidor DHCP desonesto configurado pelo invasor para se passar por um servidor DHCP legítimo na LAN.
Para proteger o switch contra ataques de fome de DHCP, use o recurso de limitação MAC. Especifique o número máximo de endereços MAC que o switch pode aprender nas interfaces de acesso às quais esses clientes se conectam. O servidor ou servidor DHCP do switch será capaz de fornecer o número especificado de endereços IP e leasings para esses clientes e não mais. Se um ataque de fome DHCP ocorrer depois que o número máximo de endereços IP tiver sido atribuído, o ataque falhará. Veja exemplo: Proteção contra ataques de fome de DHCP.
Para obter proteção adicional nos switches da Série EX, você pode configurar endereços MAC aprendidos em cada interface para persistir nas reinicializações do switch, permitindo o aprendizado mac persistente. Esse aprendizado MAC persistente ajuda a evitar a perda de tráfego após uma reinicialização e garante que, mesmo após uma reinicialização ou um evento de interface para baixo, os endereços MAC persistentes sejam ressarcidos no banco de dados de encaminhamento em vez do switch aprender novos endereços MAC.
Veja também
Configuração de segurança de porta (ELS)
Os recursos descritos são suportados em switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS) aprimorado. Se o seu switch executa um software que não aceita ELS, consulte Configurando segurança de porta (não-ELS). Para obter detalhes do ELS, consulte usando o CLI de software de camada 2 aprimorado.
As LANs Ethernet são vulneráveis a ataques, como spoofing de endereços e negação de serviço (DoS) de Camada 2 em dispositivos de rede. Os recursos de segurança das portas DHCP ajudam a proteger as portas de acesso no switch contra as perdas de informações e produtividade que podem resultar desses ataques.
Os seguintes recursos de segurança de porta são suportados para DHCPv4:
Espionagem DHCP
Inspeção dinâmica de ARP (DAI)
Proteção de origem IP
Opção DHCP 82
Os seguintes recursos de segurança de porta são suportados para DHCPv6:
Bisbilhotamento DHCPv6
Inspeção de descoberta do IPv6 Neighbor
Guarda-fonte IPv6
Opção DHCPv6 37, opção 18 e opção 16
A espionagem DHCP e a espionagem DHCPv6 são desativadas por padrão em qualquer VLAN. Nenhuma configuração explícita de CLI é usada para permitir que o DHCP bisbilhotamento ou o DHCPv6 bisbilhotamento. Quando você configura qualquer um dos recursos de segurança de porta para um VLAN no nível de hierarquia, a espionagem DHCP e a [edit vlans vlan-name forwarding-options dhcp-security] espionagem DHCPv6 são automaticamente habilitadas nesse VLAN.
A partir do Junos OS Release 14.1X53-D47 e 15.1R6, você pode habilitar o DHCP ou o DHCPv6 a bisbilhotar um VLAN sem configurar outros recursos de segurança de porta configurando a dhcp-security declaração de CLI no nível [edit vlans vlan-name forwarding-options] de hierarquia.
DAI, inspeção de descoberta de vizinhos IPv6, guarda de origem IP, proteção de origem IPv6, opção DHCP 82 e opções DHCPv6 estão configuradas por VLAN. Você deve configurar um VLAN antes de configurar esses recursos de segurança de porta DHCP. Consulte a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI).
Os recursos de segurança da porta DHCP que você especifica para o VLAN aplicam-se a todas as interfaces incluídas nesse VLAN. No entanto, você pode atribuir atributos diferentes a uma interface de acesso ou a um grupo de interfaces de acesso dentro do VLAN. A interface ou interface de acesso deve ser configurada primeiro como um grupo usando a group declaração no nível de [edit vlans vlan-name forwarding-options dhcp-security] hierarquia. Um grupo deve ter pelo menos uma interface.
Configurar um grupo de interfaces de acesso em um VLAN no nível de [edit vlans vlan-name forwarding-options dhcp-security] hierarquia permite automaticamente o uso de DHCP para todas as interfaces do VLAN.
Os atributos que podem ser especificados para interfaces de acesso usando a group declaração são:
Especificando se a interface tem um endereço IP-MAC estático (
static-ip or static-ipv6)Especificando uma interface de acesso para atuar como uma interface confiável para um servidor DHCP (
trusted)Especificando uma interface para não transmitir opções DHCP opção 82 (
no-option82) ou DHCPv6 (no-option37)
As interfaces de tronco são confiáveis por padrão. No entanto, você pode substituir esse comportamento padrão e definir uma interface de tronco como untrusted.
Para obter mais detalhes, veja:
Você pode substituir as configurações gerais de segurança de porta para o VLAN configurando um grupo de interfaces de acesso dentro desse VLAN. Para obter detalhes, veja:
Veja também
Configuração de segurança de porta (não-ELS)
As LANs Ethernet são vulneráveis a ataques, como spoofing de endereços e negação de serviço (DoS) de Camada 2 em dispositivos de rede. Recursos de segurança de porta, como dhCP, DAI (inspeção dinâmica de ARP), limitação de MAC, limitação de movimento MAC e aprendizado MAC persistente, bem como servidor DHCP confiável, ajudam a proteger as portas de acesso no switch contra a perda de informações e produtividade que esses ataques podem causar.
Dependendo do recurso específico, você pode configurar o recurso de segurança da porta em:
VLANs — um VLAN específico ou todas as VLANs
Interfaces — uma interface específica ou todas as interfaces
Se você configurar um dos recursos de segurança da porta em todas as VLANs ou todas as interfaces, o software do switch permite que o recurso de segurança de porta em todas as VLANs e todas as interfaces que não estejam configuradas explicitamente com outros recursos de segurança da porta.
No entanto, se você configurar explicitamente um dos recursos de segurança da porta em um VLAN específico ou em uma interface específica, você deve configurar explicitamente quaisquer recursos adicionais de segurança de porta que deseja aplicar a esse VLAN ou interface. Caso contrário, o software do switch aplica automaticamente os valores padrão do recurso.
Por exemplo, se você desativar o DHCP bisbilhotando todas as VLANs e decidir habilitar explicitamente o proteção de origem IP apenas em um VLAN específico, você também deve habilitar explicitamente o DHCP a bisbilhotar esse VLAN específico. Caso contrário, o valor padrão de nenhuma espionagem DHCP se aplica a esse VLAN.
Para configurar recursos de segurança de porta usando o CLI:
- Habilitação do DHCP Snooping
- Ativação da inspeção dinâmica de ARP (DAI)
- Habilitação da inspeção IPv6 Neighbor Discovery
- Limitação de endereços MAC dinâmicos em uma interface
- Habilitando o aprendizado MAC persistente em uma interface
- Limitando a movimentação de endereços MAC
- Restringindo um endereço MAC de cliente VoIP em um VLAN VoIP
- Configuração de servidores DHCP confiáveis em uma interface
Habilitação do DHCP Snooping
Você pode configurar a espionagem DHCP para permitir que o dispositivo monitore as mensagens DHCP recebidas, garantir que os hosts usem apenas os endereços IP atribuídos a eles e permitir o acesso apenas a servidores DHCP autorizados.
Para permitir que o DHCP se especibilize:
Em um VLAN específico:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
Em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
Para habilitar o DHCPv6:
Em um VLAN específico:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
Em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
Ativação da inspeção dinâmica de ARP (DAI)
Você pode habilitar a DAI a se proteger contra a espionagem ARP. Para habilitar o DAI:
Em um único VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
Em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
Habilitação da inspeção IPv6 Neighbor Discovery
Você pode habilitar a inspeção de descoberta de vizinhos para proteger contra falsificação de endereçoS IPv6.
Para permitir a descoberta do vizinho em um único VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
Para permitir a descoberta de vizinhos em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
Limitação de endereços MAC dinâmicos em uma interface
Limite o número de endereços MAC dinâmicos permitidos em uma interface e especifique a ação a ser tomada se o limite for excedido:
Em uma única interface:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
Em todas as interfaces:
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
Habilitando o aprendizado MAC persistente em uma interface
Você pode configurar endereços MAC aprendidos para persistir em uma interface nas reinicializações do switch:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
Limitando a movimentação de endereços MAC
Você pode limitar o número de vezes que um endereço MAC pode se mover de sua interface original em 1 segundo:
Em um único VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
Em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
Restringindo um endereço MAC de cliente VoIP em um VLAN VoIP
Restringir o endereço MAC de um cliente VoIP de ser aprendido em um VLAN VoIP configurado:
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
Qualquer endereço MAC aprendido nessa interface para o VoIP VLAN não é aprendido em um VLAN de dados com essa mesma interface. Se um endereço MAC tiver sido aprendido em uma interface VLAN de dados e, em seguida, o endereço MAC for aprendido em um VLAN VoIP com essa mesma interface, o endereço MAC é removido da interface VLAN de dados.
Configuração de servidores DHCP confiáveis em uma interface
Configure um servidor DHCP confiável em uma interface:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
Exemplo: configuração da segurança de porta (não ELS)
Você pode configurar o dhCP, inspeção dinâmica de ARP (DAI), limitação de MAC, aprendizado MAC persistente e movimento MAC limitando as portas não confiáveis de switches para proteger os switches e a LAN Ethernet contra spoofing de endereços e ataques de negação de serviço (DoS) de Camada 2. Você também pode configurar um servidor DHCP confiável e endereços MAC específicos (permitidos) para as interfaces do switch.
Os switches usados neste exemplo não oferecem suporte ao estilo de configuração ELS. Para obter informações sobre a configuração da segurança de porta nos switches ELS, consulte Configuração de segurança de porta (ELS).
Este exemplo descreve como configurar recursos básicos de segurança de porta em um switch:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Uma Série EX ou Série QFX.
Junos OS Versão 11.4 ou posterior para switches da Série EX ou Junos OS Versão 12.1 ou posterior para a Série QFX
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Antes de configurar recursos básicos de segurança de porta, certifique-se de ter:
Conectou o servidor DHCP ao switch.
Configurou um VLAN no switch. Veja a tarefa para sua plataforma:
Neste exemplo, o servidor DHCP e seus clientes são todos membros de um único VLAN no switch.
Visão geral e topologia
As LANs Ethernet são vulneráveis a lidar com spoofing e ataques DoS em dispositivos de rede. Para proteger os dispositivos contra esses ataques, você pode configurar:
DhCP bisbilhotando para validar mensagens de servidor DHCP
DAI para se proteger contra falsificação de MAC
Limitação de MAC para restringir o número de endereços MAC que o switch adiciona ao cache de endereço MAC
Limitação de movimento mac para ajudar a evitar spoofing MAC
APRENDIZADO MAC persistente (MAC pegajoso) para restringir os endereços MAC que podem ser aprendidos em uma interface aos primeiros aprendidos, mesmo após uma reinicialização do switch
Servidor DHCP confiável configurado em uma porta confiável para proteger contra servidores DHCP desonestos que enviam leasings
Este exemplo mostra como configurar esses recursos de segurança em um switch conectado a um servidor DHCP.
A configuração para este exemplo inclui o VLAN employee-vlan no switch. A Figura 1 ilustra a topologia deste exemplo.
Topologia
de porta básica
Os componentes da topologia para este exemplo são mostrados na Tabela 1.
| Configurações de propriedades | |
|---|---|
Hardware do switch |
Switch da Série EX ou QFX |
Nome de VLAN e ID |
funcionário vlan, tag 20 |
Sub-redes VLAN |
192.0.2.16/28 192.0.2.17 a 192.0.2.30 192.0.2.31 é o endereço de transmissão da sub-rede |
Interfaces em employee-vlan |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Interface para servidor DHCP |
ge-0/0/8 |
Neste exemplo, o switch está configurado inicialmente com a configuração padrão de segurança da porta. Na configuração padrão do switch:
O acesso de porta segura é ativado no switch.
O DHCP e o DAI estão desativados em todas as VLANs.
Todas as portas de acesso não são confiáveis, e todas as portas de tronco são confiáveis para a espionagem DHCP.
Nas tarefas de configuração para este exemplo, você define o servidor DHCP como confiável; você permite que o dhcp, DAI e MAC movam limitações em um VLAN; você define um valor para um limite MAC em algumas interfaces; você configura alguns endereços MAC específicos (permitidos) em uma interface; e você configura o aprendizado MAC persistente em uma interface.
Configuração
Para configurar a segurança de porta básica em um switch cujas portas de servidor DHCP e clientes estão em um único VLAN:
Procedimento
Configuração rápida de CLI
Para configurar rapidamente a segurança básica da porta no switch, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
Procedimento passo a passo
Configure a segurança de porta básica no switch:
Habilite o dhcp bisbilhotando o VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
Especifique a interface (porta) da qual as respostas DHCP são permitidas:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
Habilite a inspeção dinâmica de ARP (DAI) no VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Configure um limite MAC de 4 e use a ação padrão, drop. (Os pacotes são descartados e o endereço MAC não é adicionado à tabela de comutação Ethernet se o limite MAC for excedido nas interfaces):
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
Permita que endereços MAC aprendidos para uma interface específica persistam nas reinicializações do switch e eventos de interface para baixo, permitindo o aprendizado de MAC persistente:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
Configure um limite de movimento MAC de 5 e use a ação padrão, drop. (Os pacotes são descartados, e o endereço MAC não é adicionado à tabela de comutação Ethernet se um endereço MAC tiver excedido o limite de movimento mac):
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
Configure endereços MAC permitidos:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Resultados
Verifique os resultados da configuração:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
Verificação
Para confirmar que a configuração está funcionando corretamente:
- Verificar se o DHCP Snooping está funcionando corretamente no switch
- Verificar se o DAI está funcionando corretamente no switch
- Verificar se a limitação de MAC, limitação de movimento MAC e aprendizado MAC persistente estão funcionando corretamente no switch
- Verificar se os endereços MAC permitidos estão funcionando corretamente no switch
Verificar se o DHCP Snooping está funcionando corretamente no switch
Propósito
Verifique se a espionagem de DHCP está funcionando no switch.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.
Exibir as informações de espionagem DHCP quando a interface em que o servidor DHCP se conecta ao switch é confiável. Os resultados de saída a seguir quando as solicitações são enviadas dos endereços MAC e o servidor fornece os endereços IP e leasings:
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
Significado
Quando a interface em que o servidor DHCP se conecta ao switch foi definida como confiável, a saída (veja amostra anterior) mostra, para cada endereço MAC, o endereço IP atribuído e o tempo de locação — ou seja, o tempo, em segundos, permanecendo antes do leasing expira.
Se o servidor DHCP tivesse sido configurado como não confiável, nenhuma entrada seria adicionada ao banco de dados de espionagem DHCP, e nada seria mostrado na saída do show dhcp snooping binding comando.
Verificar se o DAI está funcionando corretamente no switch
Propósito
Verifique se a DAI está funcionando no switch.
Ação
Envie algumas solicitações de ARP de dispositivos de rede conectados ao switch.
Exibir as informações do DAI:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
A saída de amostra mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O switch compara as solicitações de ARP e responde com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados, o pacote será descartado.
Verificar se a limitação de MAC, limitação de movimento MAC e aprendizado MAC persistente estão funcionando corretamente no switch
Propósito
Verifique se a limitação de MAC, limitação de movimento MAC e aprendizado MAC persistente estão funcionando no switch.
Ação
Suponha que dois pacotes tenham sido enviados de hosts em ge-0/0/1 e cinco pacotes de hosts no ge-0/0/2, com ambas as interfaces definidas para um limite MAC de 4 com a queda de ação padrão e ge-0/0/1 habilitado para aprendizado MAC persistente.
Exibir os endereços MAC aprendidos:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Agora suponha que os pacotes tenham sido enviados de dois dos hosts no ge-0/0/2 depois de terem sido transferidos para outras interfaces mais de cinco vezes em 1 segundo, com o funcionário-vlan definido para um limite de movimento MAC de 5 com a queda de ação padrão.
Exibir os endereços MAC na tabela:
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
A primeira saída amostral mostra que, com um limite MAC de 4 para cada interface, o quinto endereço MAC no ge-0/0/2 não foi aprendido porque excedeu o limite mac. A segunda saída amostral mostra que os endereços MAC para três dos hosts no ge-/0/0/2 não foram aprendidos, porque os anfitriões foram transferidos para trás mais de cinco vezes em 1 segundo.
A interface ge-0/0/1.0 foi habilitada para aprendizado MAC persistente, de modo que os endereços MAC associados a essa interface são do tipo persistente.
Verificar se os endereços MAC permitidos estão funcionando corretamente no switch
Propósito
Verifique se os endereços MAC permitidos estão funcionando no switch.
Ação
Exibir as informações do cache MAC após cinco endereços MAC permitidos terem sido configurados na interface ge-0/0/2:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
Como o valor limite do MAC para esta interface foi definido para 4, apenas quatro dos cinco endereços permitidos configurados são aprendidos.