AUF DIESER SEITE
Beispiel: Schutz vor ARP-Spoofing-Angriffen
Bei einem ARP-Spoofing-Angriff verknüpft der Angreifer seine eigene MAC-Adresse mit der IP-Adresse eines Netzwerkgeräts, das mit dem Switch verbunden ist. Der für diese IP-Adresse vorgesehene Datenverkehr wird nun an den Angreifer gesendet, anstatt an das beabsichtigte Ziel. Der Angreifer kann gefälschte oder "gefälschte" ARP-Nachrichten über das LAN senden.
Wenn die dynamische ARP-Inspektion (DAI) aktiviert ist, protokolliert der Switch die Anzahl der ungültigen ARP-Pakete, die er auf jeder Schnittstelle empfängt, zusammen mit den IP- und MAC-Adressen des Absenders. Sie können diese Protokollmeldungen verwenden, um ARP-Spoofing im Netzwerk zu entdecken. ARP-Probe-Pakete werden keiner dynamischen ARP-Prüfung unterzogen. Der Switch leitet solche Pakete immer weiter.
In diesem Beispiel wird beschrieben, wie DHCP-Snooping und dynamische ARP-Inspektion (DAI), zwei Port-Sicherheitsfunktionen, konfiguriert werden, um den Switch vor ARP-Spoofing-Angriffen zu schützen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie oder ein QFX3500-Switch
Junos OS Version 11.4 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die QFX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie DHCP-Snooping und DAI (Sicherheitsfunktionen für zwei Ports) zur Abwehr von ARP-Spoofing-Angriffen konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
Es wurde ein VLAN auf dem Switch konfiguriert. Sehen Sie sich die Aufgabe für Ihre Plattform an:
Übersicht und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. In diesem Beispiel wird beschrieben, wie Sie den Switch vor einem häufigen Angriffstyp, einem ARP-Spoofing-Angriff, schützen können.
Bei einem ARP-Spoofing-Angriff sendet der Angreifer gefälschte ARP-Nachrichten und verursacht so verschiedene Arten von Problemen im LAN – zum Beispiel könnte der Angreifer einen Man-in-the-Middle-Angriff starten.
Dieses Beispiel zeigt, wie Portsicherheitsfunktionen auf einem Switch konfiguriert werden, der mit einem DHCP-Server verbunden ist. Die Einrichtung für dieses Beispiel umfasst das VLAN employee-vlan auf dem Switch. Das Verfahren zum Erstellen dieses VLANs wird im Thema Beispiel: Einrichten von Bridging mit mehreren VLANs für Switches der EX-Serie und Beispiel: Einrichten von Bridging mit mehreren VLANs auf Switches für die QFX-Serie beschrieben. Dieses Verfahren wiederholt sich hier nicht. Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein EX3200-24P, 24 Ports (8 PoE-Ports) oder ein QFX3500 Switch |
VLAN-Name und -ID |
Mitarbeiter-VLAN, Tag 20 |
VLAN-Subnetze |
192.0.2.16/28 192.0.2.17 bis 192.0.2.30192.0.2.31 ist die Broadcast-Adresse des Subnetzes |
Schnittstellen im Mitarbeiter-VLAN |
ge-0/0/1,ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Der sichere Portzugriff ist auf dem Switch aktiviert.
DHCP-Snooping ist im VLAN employee-vlan deaktiviert.
Alle Zugriffsports sind nicht vertrauenswürdig, was die Standardeinstellung ist.
Konfiguration
So konfigurieren Sie DHCP-Snooping und dynamische ARP-Inspektion (DAI), um den Switch vor ARP-Angriffen zu schützen:
Verfahren
CLI-Schnellkonfiguration
Um DHCP-Snooping und dynamische ARP-Inspektion (DAI) schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted user@switch# set vlan employee-vlan examine-dhcp user@switch# set vlan employee-vlan arp-inspection
Schritt-für-Schritt-Anleitung
Konfigurieren Sie DHCP-Snooping und dynamische ARP-Inspektion (DAI) im VLAN:
Legen Sie die ge-0/0/8-Schnittstelle als vertrauenswürdig fest:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
DHCP-Snooping im VLAN aktivieren:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
Aktivieren Sie DAI im VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection;
examine-dhcp;
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob DHCP-Snooping auf dem Switch ordnungsgemäß funktioniert
- Überprüfen, ob DAI auf dem Switch ordnungsgemäß funktioniert
Überprüfen, ob DHCP-Snooping auf dem Switch ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass DHCP-Snooping auf dem Switch funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn der Port, an dem der DHCP-Server eine Verbindung zum Switch herstellt, vertrauenswürdig ist. Die folgende Ausgabe ergibt sich, wenn Anforderungen von den MAC-Adressen gesendet werden und der Server die IP-Adressen und Leases bereitgestellt hat:
user@switch> show dhcp-snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee-vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee-vlan ge-0/0/3.0
Bedeutung
Wenn die Schnittstelle, über die der DHCP-Server eine Verbindung zum Switch herstellt, auf vertrauenswürdig festgelegt wurde, zeigt die Ausgabe (siehe vorheriges Beispiel) für jede MAC-Adresse die zugewiesene IP-Adresse und die Lease-Zeit an, d. h. die Zeit in Sekunden, die bis zum Ablauf der Lease verbleibt.
Überprüfen, ob DAI auf dem Switch ordnungsgemäß funktioniert
Zweck
Vergewissern Sie sich, dass DAI auf dem Switch funktioniert.
Aktion
Senden Sie einige ARP-Anforderungen von Netzwerkgeräten, die mit dem Switch verbunden sind.
Zeigen Sie die DAI-Informationen an:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Bedeutung
Die Beispielausgabe zeigt die Anzahl der ARP-Pakete, die pro Schnittstelle empfangen und geprüft wurden, mit einer Auflistung, wie viele Pakete bestanden wurden und wie viele die Überprüfung auf jeder Schnittstelle nicht bestanden haben. Der Switch vergleicht die ARP-Anfragen und -Antworten mit den Einträgen in der DHCP-Snooping-Datenbank. Wenn eine MAC- oder IP-Adresse im ARP-Paket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmt, wird das Paket verworfen.