Beispiel: Konfigurieren von IP Source Guard mit anderen Switch-Funktionen der EX-Serie zur Abwehr von Adress-Spoofing-Angriffen auf nicht vertrauenswürdige Zugriffsschnittstellen
Ethernet-LAN-Switches sind anfällig für Angriffe, bei denen Quell-IP-Adressen oder Quell-MAC-Adressen gefälscht werden. Diese gefälschten Pakete werden von Hosts gesendet, die mit nicht vertrauenswürdigen Zugriffsschnittstellen auf dem Switch verbunden sind. Sie können die Sicherheitsfunktion für IP-Quell-Guard-Ports auf Switches der EX-Serie aktivieren, um die Auswirkungen solcher Angriffe abzumildern. Wenn der IP-Quellwächter feststellt, dass eine Quell-IP-Adresse und eine Quell-MAC-Adresse in einer Bindung in einem eingehenden Paket ungültig sind, leitet der Switch das Paket nicht weiter.
Sie können den IP-Quellschutz in Kombination mit anderen Switch-Funktionen der EX-Serie verwenden, um Adress-Spoofing-Angriffe auf nicht vertrauenswürdige Zugriffsschnittstellen zu entschärfen. Dieses Beispiel zeigt zwei Konfigurationsszenarien:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie
Junos OS Version 9.2 oder höher für Switches der EX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Einen RADIUS-Server für die 802.1X-Authentifizierung
Bevor Sie den IP-Quellschutz für die in diesem Beispiel beschriebenen Szenarien konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
Den RADIUS-Server mit dem Switch verbunden und die Benutzerauthentifizierung auf dem RADIUS-Server konfiguriert. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Konfigurierte VLANs auf dem Switch. In diesem Beispiel haben wir zwei VLANs, die den Namen
DATAund .GUESTDasDATAVLAN ist mitvlan-id300konfiguriert. DasGUESTVLAN (das als Gast-VLAN fungiert) ist mitvlan-id 100konfiguriert. Detaillierte Informationen zur Konfiguration von VLANs finden Sie unter Beispiel: Einrichten von Bridging mit mehreren VLANs für Switches der EX-Serie .
Übersicht und Topologie
IP Source Guard überprüft die IP-Quelladresse und MAC-Quelladresse in einem Paket, das von einem Host gesendet wird, der an eine nicht vertrauenswürdige Zugriffsschnittstelle auf dem Switch angeschlossen ist. Wenn der IP-Quellwächter feststellt, dass der Paket-Header eine ungültige Quell-IP-Adresse oder Quell-MAC-Adresse enthält, stellt er sicher, dass der Switch das Paket nicht weiterleitet, d. h., das Paket wird verworfen.
Wenn Sie den IP-Quellschutz konfigurieren, aktivieren Sie ihn in einem oder mehreren VLANs. Der IP-Quellschutz wendet seine Prüfregeln auf nicht vertrauenswürdige Zugriffsschnittstellen in diesen VLANs an. Standardmäßig sind Zugriffsschnittstellen bei Switches der EX-Serie nicht vertrauenswürdig und Trunk-Schnittstellen vertrauenswürdig. Der IP-Quellschutz überprüft keine Pakete, die von Geräten an den Switch gesendet wurden, die entweder mit Trunk-Schnittstellen oder mit vertrauenswürdigen Zugriffsschnittstellen verbunden sind, d. h. Schnittstellen, die mit konfiguriert sind dhcp-trusted. Ein DHCP-Server kann mit einer dhcp-trusted Schnittstelle verbunden werden, um dynamische IP-Adressen bereitzustellen.
Der IP-Quellschutz erhält Informationen über IP-Adressen, MAC-Adressen oder VLAN-Bindungen von der DHCP-Snooping-Datenbank, die es dem Switch ermöglichen, eingehende IP-Pakete anhand der Einträge in dieser Datenbank zu validieren.
Topologie
Die Topologie für dieses Beispiel umfasst einen Switch der EX-Serie, der sowohl mit einem DHCP-Server als auch mit einem RADIUS-Server verbunden ist.
Die in diesem Beispiel angewendete 802.1X-Benutzerauthentifizierung gilt für den Single-Supplicant-Modus.
Sie können den IP-Quellschutz mit 802.1X-Benutzerauthentifizierung für den Single-Secure- oder Multiple-Supplicant-Modus verwenden. Wenn Sie IP Source Guard mit 802.1X-Authentifizierung im Single-Secure-Supplicant- oder Multiple-Supplicant-Modus implementieren, müssen Sie die folgenden Konfigurationsrichtlinien befolgen:
Wenn die 802.1X-Schnittstelle Teil eines nicht getaggten MAC-basierten VLANs ist und Sie den IP-Quellschutz und DHCP-Snooping in diesem VLAN aktivieren möchten, müssen Sie den IP-Quellschutz und das DHCP-Snooping in allen dynamischen VLANs aktivieren, in denen die Schnittstelle über eine nicht getaggte Mitgliedschaft verfügt.
Wenn die 802.1X-Schnittstelle Teil eines getaggten MAC-basierten VLANs ist und Sie den IP-Quellschutz und DHCP-Snooping in diesem VLAN aktivieren möchten, müssen Sie den IP-Quellschutz und das DHCP-Snooping in allen dynamischen VLANs aktivieren, in denen die Schnittstelle eine Tag-Mitgliedschaft hat.
Im ersten Konfigurationsbeispiel sind zwei Clients (Netzwerkgeräte) mit einem Access-Switch verbunden. Sie konfigurieren den IP-Quellschutz und die 802.1X-Benutzerauthentifizierung in Kombination mit zwei Sicherheitsfunktionen für Zugriffsports: DHCP-Snooping und dynamische ARP-Inspektion (DAI). Dieses Setup soll den Switch vor IP-Angriffen wie Ping-of-Death-Angriffen , DHCP-Verhungerung und ARP-Spoofing schützen.
Im zweiten Konfigurationsbeispiel ist der Switch für die 802.1X-Benutzerauthentifizierung konfiguriert. Wenn die Authentifizierung des Clients fehlschlägt, leitet der Switch den Client an ein Gast-VLAN weiter, das diesem Client den Zugriff auf eine Reihe von eingeschränkten Netzwerkfunktionen ermöglicht. Sie konfigurieren den IP-Quellschutz im Gast-VLAN, um die Auswirkungen von Quell-IP-Spoofing abzumildern.
Sie können das Flag ip-source-guard in der traceoptions Anweisung zu Debugging-Zwecken festlegen.
Konfigurieren von IP Source Guard mit 802.1X-Authentifizierung, DHCP-Snooping und dynamischer ARP-Prüfung
Verfahren
CLI-Schnellkonfiguration
Um den IP-Quellschutz schnell mit 802.1X-Authentifizierung und anderen Sicherheitsfunktionen für Zugriffsports zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set ethernet-switching-options secure-access-port interface ge-0/0/24 dhcp-trusted set ethernet-switching-options secure-access-port vlan DATA examine-dhcp set ethernet-switching-options secure-access-port vlan DATA arp-inspection set ethernet-switching-options secure-access-port vlan DATA ip-source-guard set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members DATA set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members DATA set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members DATA set protocols lldp-med interface ge-0/0/0.0 set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/0.0 supplicant single set protocols lldp-med interface ge-0/0/1.0 set protocols dot1x authenticator interface ge-0/0/1.0 supplicant single
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den IP-Quellschutz mit 802.1X-Authentifizierung und verschiedenen Portsicherheitsfunktionen:
Konfigurieren Sie die Schnittstelle, über die der DHCP-Server mit dem Switch verbunden ist, als vertrauenswürdige Schnittstelle, und fügen Sie diese Schnittstelle dem
DATAVLAN hinzu:[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24 dhcp-trusted user@switch# set set ge-0/0/24 unit 0 family ethernet-switching vlan members DATA
Ordnen Sie dem DATA-VLAN zwei weitere Zugriffsschnittstellen (nicht vertrauenswürdig) zu:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members DATA user@switch# set ge-0/0/1 unit 0 family ethernet-switching vlan members DATA
Konfigurieren Sie 802.1X-Benutzerauthentifizierung und LLDP-MED auf den beiden Schnittstellen, die Sie dem DATA-VLAN zugeordnet haben:
[edit protocols] user@switch# set lldp-med interface ge-0/0/0.0 user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/0.0 supplicant single user@switch# set lldp-med interface ge-0/0/1.0 user@switch# set dot1x authenticator interface ge-0/0/1.0 supplicant single
Konfigurieren Sie drei Sicherheitsfunktionen für den Zugriffsport – DHCP-Snooping, dynamische ARP-Prüfung (DAI) und IP-Quellschutz – im
DATAVLAN:[edit ethernet-switching-options] user@switch# set secure-access-port vlan DATA examine-dhcp user@switch# set secure-access-port vlan DATA arp-inspection user@switch# set secure-access-port vlan DATA ip-source-guard
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options]
secure-access-port {
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan DATA {
arp-inspection;
examine-dhcp;
ip-source-guard;
}
}
[edit interfaces]
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
[edit protocols]
lldp-med {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
dot1x {
authenticator {
authentication-profile-name profile52;
}
interface {
ge-0/0/0.0 {
supplicant single;
}
ge-0/0/1.0 {
supplicant single;
}
}
}
Konfigurieren des IP-Quellschutzes in einem Gast-VLAN
Verfahren
CLI-Schnellkonfiguration
Um den IP-Quellschutz in einem Gast-VLAN schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set ethernet-switching-options secure-access-port interface ge-0/0/24 dhcp-trusted set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members GUEST set ethernet-switching-options secure-access-port vlan GUEST examine-dhcp set ethernet-switching-options secure-access-port vlan GUEST ip-source-guard set ethernet-switching-options secure-access-port interface ge-0/0/0 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan GUEST set ethernet-switching-options secure-access-port interface ge-0/0/1 static-ip 10.1.1.2 mac 00:22:22:22:22:22 vlan GUEST set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/0 supplicant single set protocols dot1x authenticator interface ge-0/0/0 guest-vlan GUEST set protocols dot1x authenticator interface ge-0/0/0 supplicant-timeout 2 set protocols dot1x authenticator interface ge-0/0/1 supplicant single set protocols dot1x authenticator interface ge-0/0/1 guest-vlan GUEST set protocols dot1x authenticator interface ge-0/0/1 supplicant-timeout 2
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den IP-Quellschutz in einem Gast-VLAN:
Konfigurieren Sie die Schnittstelle, über die der DHCP-Server mit dem Switch verbunden ist, als vertrauenswürdige Schnittstelle, und fügen Sie diese Schnittstelle dem
GUESTVLAN hinzu:[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24 dhcp-trusted user@switch# set ge-0/0/24 unit 0 family ethernet-switching vlan members GUEST
Konfigurieren Sie zwei Schnittstellen für den Zugriffsportmodus:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/1 unit 0 family ethernet-switching port-mode access
Konfigurieren Sie DHCP-Snooping und IP-Quellschutz im
GUESTVLAN:[edit ethernet-switching-options] user@switch# set secure-access-port vlan GUEST examine-dhcp user@switch# set secure-access-port vlan GUEST ip-source-guard
Konfigurieren Sie eine statische IP-Adresse auf jeder von zwei (nicht vertrauenswürdigen) Schnittstellen im
GUESTVLAN (optional):[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/0 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan GUEST
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/1 static-ip 10.1.1.2 mac 00:22:22:22:22:22 vlan GUEST
Konfigurieren der 802.1X-Benutzerauthentifizierung:
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/0 supplicant single user@switch# set dot1x authenticator interface ge-0/0/1 supplicant single user@switch# set dot1x authenticator interface ge-0/0/0 supplicant-timeout 2 user@switch# set dot1x authenticator interface ge-0/0/1 supplicant-timeout 2
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit protocols]
dot1x {
authenticator {
authentication-profile-name profile52;
}
interface {
ge-0/0/0.0 {
guest-vlan GUEST;
supplicant single;
supplicant-timeout 2;
}
ge-0/0/1.0 {
guest-vlan GUEST;
supplicant single;
supplicant-timeout 2;
}
}
}
}
[edit vlans]
GUEST {
vlan-id 100;
}
[edit interfaces]
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members GUEST;
}
}
}
}
[edit ethernet-switching-options]
secure-access-port {
interface ge-0/0/0.0 {
static-ip 10.1.1.1 vlan GUEST mac 00:11:11:11:11:11;
}
interface ge-0/0/1.0 {
static-ip 10.1.1.2 vlan GUEST mac 00:22:22:22:22:22;
}
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan GUEST {
examine-dhcp;
ip-source-guard;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen, ob die 802.1X-Benutzerauthentifizierung auf der Schnittstelle funktioniert
- Überprüfen der VLAN-Zuordnung zur Schnittstelle
- Überprüfen, ob DHCP-Snooping im VLAN funktioniert
- Überprüfen, ob IP Source Guard im VLAN arbeitet
Überprüfen, ob die 802.1X-Benutzerauthentifizierung auf der Schnittstelle funktioniert
Zweck
Stellen Sie sicher, dass die 802.1X-Konfiguration auf der Schnittstelle funktioniert.
Aktion
user@switch> show dot1x interface ge/0/0/0.0 detail
ge-0/0/0.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 2
Quiet period: 30 seconds
Transmit period: 15 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 2 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: GUEST
Number of connected supplicants: 1
Supplicant: md5user01, 00:30:48:90:53:B7
Operational state: Authenticated
Backend Authentication state: Idle
Authentcation method: Radius
Authenticated VLAN: DATA
Session Reauth interval: 3600 seconds
Reauthentication due in 3581 seconds
Bedeutung
Das Supplicant mode Feld zeigt den konfigurierten Verwaltungsmodus für jede Schnittstelle an. Das Guest VLAN member Feld zeigt das VLAN an, mit dem ein Supplicant verbunden ist, wenn der Supplicant über ein Gast-VLAN authentifiziert wird. Das Authenticated VLAN Feld zeigt das VLAN an, mit dem der Supplicant verbunden ist.
Überprüfen der VLAN-Zuordnung zur Schnittstelle
Zweck
Überprüfen Sie den Schnittstellenstatus und die VLAN-Mitgliedschaften.
Aktion
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking ge-0/0/0.0 up DATA 101 untagged unblocked ge-0/0/1.0 up DATA 101 untagged unblocked ge-0/0/24 up DATA 101 untagged unblocked
Bedeutung
Das VLAN members Feld zeigt die Zuordnungen zwischen VLANs und Schnittstellen an. Das State Feld zeigt an, ob die Schnittstellen aktiv oder inaktiv sind.
Bei der Gast-VLAN-Konfiguration wird die Schnittstelle dem Gast-VLAN zugeordnet, wenn der Supplicant die 802.1X-Benutzerauthentifizierung nicht besteht.
Überprüfen, ob DHCP-Snooping im VLAN funktioniert
Zweck
Stellen Sie sicher, dass DHCP-Snooping aktiviert ist und im VLAN funktioniert. Senden Sie einige DHCP-Anforderungen von Netzwerkgeräten (DHCP-Clients), die mit dem Switch verbunden sind.
Aktion
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:30:48:90:53:B7 192.0.2.1 86392 dynamic DATA ge-0/0/24.0
Bedeutung
Wenn die Schnittstelle, über die der DHCP-Server eine Verbindung zum Switch herstellt, auf dhcp-trustedfestgelegt wurde, zeigt die Ausgabe für jede MAC-Adresse die zugewiesene IP-Adresse und die Lease-Zeit an, d. h. die Zeit in Sekunden, die bis zum Ablauf der Lease verbleibt. Statischen IP-Adressen ist keine Leasezeit zugewiesen. Statisch konfigurierte Einträge laufen nie ab.
Überprüfen, ob IP Source Guard im VLAN arbeitet
Zweck
Stellen Sie sicher, dass der IP-Quellschutz aktiviert ist und im VLAN funktioniert.
Aktion
user@switch> show ip-source-guard IP source guard information: Interface Tag IP Address MAC Address VLAN ge-0/0/0.0 0 192.0.2.2 00:30:48:90:63:B7 DATA ge-0/0/1.0 0 192.0.2.3 00:30:48:90:73:B7 DATA
Bedeutung
Die Datenbanktabelle des IP-Quellwächters enthält die VLANs, für die der IP-Quellschutz aktiviert ist, die nicht vertrauenswürdigen Zugriffsschnittstellen in diesen VLANs, die VLAN 802.1Q-Tag-IDs, falls vorhanden, und die IP-Adressen und MAC-Adressen, die aneinander gebunden sind. Wenn eine Switch-Schnittstelle mehreren VLANs zugeordnet ist und für einige dieser VLANs der IP-Quellschutz aktiviert (oder konfiguriert) ist, während für andere der IP-Quellschutz nicht aktiviert ist, haben die VLANs, für die der IP-Quellschutz nicht aktiviert ist, einen Stern (*) in den IP Address Feldern und MAC Address .