Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender e usar servidores DHCP confiáveis

Entender portas confiáveis e não confiáveis e servidores DHCP

Os servidores DHCP fornecem endereços IP e outras informações de configuração para os clientes DHCP da rede. O uso de portas confiáveis para o servidor DHCP protege contra servidores DHCP desonestos que enviam leasings.

Portas não confiáveis retiram o tráfego de servidores DHCP para evitar que servidores não autorizados forneçam qualquer informação de configuração aos clientes.

Por padrão, todas as portas de tronco são confiáveis para DHCP e todas as portas de acesso não são confiáveis.

Você pode configurar uma substituição do comportamento padrão para definir uma porta de tronco como não confiável, o que bloqueia todas as mensagens de servidor DHCP de entrada dessa interface. Isso é útil para evitar um ataque de servidor DHCP desonesto, no qual um invasor introduziu um servidor não autorizado na rede. As informações fornecidas aos clientes DHCP por este servidor têm o potencial de interromper o acesso à rede. O servidor não autorizado também pode atribuir-se como o dispositivo de gateway padrão para a rede. Um invasor pode então farejar o tráfego de rede e cometer um ataque homem-no-meio — ou seja, desvia o tráfego destinado a um dispositivo de rede legítimo para um dispositivo de sua escolha.

Você também pode configurar uma porta de acesso como confiável. Se você anexar um servidor DHCP a uma porta de acesso, você deve configurar a porta como confiável. Antes disso, garanta que o servidor esteja fisicamente seguro— ou seja, que o acesso ao servidor seja monitorado e controlado.

Habilitação de um servidor DHCP confiável (ELS)

Nota:

Este exemplo usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS) aprimorado.

Você pode configurar qualquer interface em um switch que se conecte a um servidor DHCP como uma interface (porta) confiável. Configurar um servidor DHCP em uma interface confiável protege contra servidores DHCP desonestos que enviam leasings.

Por padrão, todas as interfaces de acesso não são confiáveis, e todas as interfaces de tronco são confiáveis. No entanto, você pode substituir a configuração padrão para interfaces de acesso configurando um grupo de interfaces de acesso dentro de um VLAN, especificando uma interface para pertencer a esse grupo e, em seguida, configurando o grupo como confiável.

Antes de configurar um servidor DHCP confiável, você deve configurar um VLAN. Consulte a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI).

Configurar uma interface de acesso não confiável como uma interface confiável para um servidor DHCP usando o CLI:

  1. Configure um grupo dentro de um VLAN com uma interface de acesso específica:
  2. Configure esse grupo trusted para tornar a interface especificada contida no grupo uma interface confiável:

Habilitação de um servidor DHCP confiável (não ELS)

Você pode se proteger contra servidores DHCP desonestos que enviam leasings desonestos em sua rede usando servidores e portas DHCP confiáveis. Por padrão, para DHCP, todas as portas de tronco são confiáveis, e todas as portas de acesso não são confiáveis. E você só pode configurar o servidor DHCP em uma interface; ou seja, o uso de um VLAN não é compatível.

Portas confiáveis permitem que servidores DHCP forneçam endereços IP e outras informações para dispositivos de solicitação. Portas não confiáveis retiram o tráfego de servidores DHCP para evitar que servidores não autorizados forneçam qualquer informação de configuração aos clientes.

Para configurar uma porta para hospedar um servidor DHCP, insira o seguinte comando do Junos CLI:

onde, a interface, ge-0/0/8 é qualquer interface confiável e fisicamente segura que seja válida para sua rede.

Habilitação de um servidor DHCP confiável (roteadores da Série MX)

Você pode configurar qualquer interface em um dispositivo de comutação que se conecte a um servidor DHCP como uma interface (porta) confiável. Configurar um servidor DHCP em uma interface confiável protege contra servidores DHCP desonestos que enviam leasings.

Por padrão, todas as interfaces de acesso não são confiáveis, e todas as interfaces de tronco são confiáveis. No entanto, você pode substituir a configuração padrão para interfaces de acesso configurando um grupo de interfaces de acesso dentro de um domínio de ponte, especificando uma interface para pertencer a esse grupo e, em seguida, configurando o grupo como confiável.

Antes de configurar um servidor DHCP confiável, você deve configurar um domínio de ponte.

Configurar uma interface de acesso não confiável como uma interface confiável para um servidor DHCP usando o CLI:

  1. Configure um grupo dentro de um domínio de ponte com uma interface de acesso específica:

  2. Configure esse grupo trusted para tornar a interface especificada contida no grupo uma interface confiável:

Verificar se um servidor DHCP confiável está funcionando corretamente

Propósito

Verifique se um servidor de confiança DHCP está funcionando no switch. Veja o que acontece quando o servidor DHCP é confiável e, em seguida, não confiável.

Ação

Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.

Exibir as informações de espionagem DHCP quando a interface em que o servidor DHCP se conecta ao switch é confiável. Os resultados de saída a seguir quando as solicitações são enviadas dos endereços MAC e o servidor fornece os endereços IP e leasings:

Significado

Quando a interface em que o servidor DHCP se conecta ao switch foi definida como confiável, a saída (veja amostra anterior) mostra, para cada endereço MAC, o endereço IP atribuído e o tempo de locação — ou seja, o tempo, em segundos, permanecendo antes do leasing expira.

Se o servidor DHCP tivesse sido configurado como não confiável, nenhuma entrada seria adicionada ao banco de dados de espionagem DHCP e nada seria mostrado na saída do show dhcp snooping binding comando.

Configuração de uma interface de tronco como não confiável para segurança DHCP (procedimento de CLI)

Antes de configurar um grupo de interfaces, você deve configurar um VLAN. Consulte a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI).

Interfaces de tronco não confiáveis oferecem suporte aos seguintes recursos de segurança DHCP quando eles estão habilitados no VLAN:

  • DhCP e DHCPv6 bisbilhotando

  • Inspeção dinâmica de ARP

  • Inspeção de descoberta de vizinhos IPv6

Para configurar uma interface de tronco como não confiável, você deve configurar um grupo de interfaces dentro de um VLAN, adicionar a interface do tronco ao grupo e, em seguida, configurar o grupo como confiável. Um grupo deve ter pelo menos uma interface.

Configurar uma interface de tronco como não confiável para a segurança DHCP:

  1. Configure um grupo dentro de um VLAN com a interface do tronco como membro:
  2. Configure o grupo untrusted para tornar a interface especificada contida no grupo uma interface não confiável: