NESTA PÁGINA
Entender e usar servidores DHCP confiáveis
Entendendo portas confiáveis e não confiáveis e servidores DHCP
Os servidores DHCP fornecem endereços IP e outras informações de configuração para os clientes DHCP da rede. O uso de portas confiáveis para o servidor DHCP protege contra servidores DHCP desonestos que enviam leasings.
Portas não confiáveis reduzem o tráfego dos servidores DHCP para evitar que servidores não autorizados forneçam qualquer informação de configuração aos clientes.
Por padrão, todas as portas de tronco são confiáveis para DHCP e todas as portas de acesso não são confiáveis.
Você pode configurar uma substituição do comportamento padrão para definir uma porta de tronco como não confiável, o que bloqueia todas as mensagens de servidor DHCP de entrada dessa interface. Isso é útil para evitar um ataque de servidor DHCP desonesto, no qual um invasor introduziu um servidor não autorizado na rede. As informações fornecidas aos clientes DHCP por este servidor têm o potencial de interromper o acesso à rede. O servidor não autorizado também pode atribuir-se como o dispositivo de gateway padrão para a rede. Um invasor pode então farejar o tráfego da rede e perpetrar um ataque homem-no-meio — ou seja, direciona o tráfego errado destinado a um dispositivo de rede legítimo a um dispositivo de sua escolha.
Você também pode configurar uma porta de acesso como confiável. Se você anexar um servidor DHCP a uma porta de acesso, você deve configurar a porta como confiável. Antes disso, certifique-se de que o servidor esteja fisicamente seguro — ou seja, que o acesso ao servidor seja monitorado e controlado.
Habilitando um servidor DHCP confiável (ELS)
Este exemplo usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS).
Você pode configurar qualquer interface em um switch que se conecte a um servidor DHCP como uma interface confiável (porta). A configuração de um servidor DHCP em uma interface confiável protege contra servidores DHCP desonestos que enviam leasings.
Por padrão, todas as interfaces de acesso não são confiáveis, e todas as interfaces de tronco são confiáveis. No entanto, você pode substituir a configuração padrão para interfaces de acesso configurando um grupo de interfaces de acesso dentro de uma VLAN, especificando uma interface a pertencer a esse grupo e configurando o grupo como confiável.
Antes de configurar um servidor DHCP confiável, você deve configurar uma VLAN. Consulte a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI).
Configurar uma interface de acesso não confiável como uma interface confiável para um servidor DHCP usando o CLI:
Habilitando um servidor DHCP confiável (não-ELS)
Você pode se proteger contra servidores DHCP desonestos que enviam leasings desonestos em sua rede usando servidores e portas DHCP confiáveis. Por padrão, para DHCP, todas as portas de tronco são confiáveis, e todas as portas de acesso não são confiáveis. E você só pode configurar o servidor DHCP em uma interface; ou seja, o uso de uma VLAN não é compatível.
Portas confiáveis permitem que os servidores DHCP forneçam endereços IP e outras informações aos dispositivos de solicitação. Portas não confiáveis reduzem o tráfego dos servidores DHCP para evitar que servidores não autorizados forneçam qualquer informação de configuração aos clientes.
Para configurar uma porta para hospedar um servidor DHCP, insira o seguinte comando do Junos CLI:
[edit ethernet-switching-options secure-access port] user@switch# set interface ge-0/0/8 dhcp-trusted
onde, a interface ge-0/0/8 é qualquer interface confiável e fisicamente segura que é válida para sua rede.
Veja também
Habilitando um servidor DHCP confiável (roteadores da Série MX)
Você pode configurar qualquer interface em um dispositivo de comutação que se conecta a um servidor DHCP como uma interface confiável (porta). A configuração de um servidor DHCP em uma interface confiável protege contra servidores DHCP desonestos que enviam leasings.
Por padrão, todas as interfaces de acesso não são confiáveis, e todas as interfaces de tronco são confiáveis. No entanto, você pode substituir a configuração padrão para interfaces de acesso configurando um grupo de interfaces de acesso dentro de um domínio de ponte, especificando uma interface a pertencer a esse grupo e configurando o grupo como confiável.
Antes de configurar um servidor DHCP confiável, você deve configurar um domínio de ponte.
Configurar uma interface de acesso não confiável como uma interface confiável para um servidor DHCP usando o CLI:
Verificando se um servidor DHCP confiável está funcionando corretamente
Propósito
Verifique se um servidor de confiança DHCP está trabalhando no switch. Veja o que acontece quando o servidor DHCP é confiável e depois não é confiável.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.
Exibir as informações de espionagem DHCP quando a interface em que o servidor DHCP se conecta ao switch é confiável. Os resultados de saída a seguir são quando as solicitações são enviadas dos endereços MAC e o servidor fornece os endereços IP e leasings:
user@switch> show dhcp snooping binding
DHCP Snooping Information:
MAC Address IP Address Lease Type VLAN Interface
----------------- ---------- ----- ---- ---- ---------
00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0
00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0
00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0
00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0
00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0
00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
Significado
Quando a interface em que o servidor DHCP se conecta ao switch foi definida como confiável, a saída (ver amostra anterior) mostra, para cada endereço MAC, o endereço IP atribuído e o tempo de locação — ou seja, o tempo, em segundos, permanecendo antes que o leasing expira.
Se o servidor DHCP tivesse sido configurado como não confiável, nenhuma entrada seria adicionada ao banco de dados de espionagem DHCP e nada seria mostrado na saída do show dhcp snooping binding comando.
Veja também
Configuração de uma interface de tronco como não confiável para segurança DHCP (procedimento CLI)
Antes de configurar um grupo de interfaces, você deve configurar uma VLAN. Consulte a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI).
Interfaces de tronco não confiáveis oferecem suporte aos seguintes recursos de segurança DHCP quando eles são habilitados na VLAN:
DHCP e DHCPv6 bisbilhotando
Inspeção dinâmica de ARP
Inspeção de descoberta de vizinhos IPv6
Para configurar uma interface de tronco como não confiável, você deve configurar um grupo de interfaces dentro de uma VLAN, adicionar a interface de tronco ao grupo e, em seguida, configurar o grupo como não confiável. Um grupo deve ter pelo menos uma interface.
Para configurar uma interface de tronco como não confiável para a segurança DHCP: