AUF DIESER SEITE
Beispiel: Schutz vor ARP-Spoofing-Angriffen
Bei einem ARP-Spoofing-Angriff verknüpft der Angreifer seine eigene MAC-Adresse mit der IP-Adresse eines mit dem Switch verbundenen Netzwerkgeräts. Datenverkehr, der für diese IP-Adresse bestimmt ist, wird jetzt an den Angreifer gesendet, anstatt an das beabsichtigte Ziel gesendet zu werden. Der Angreifer kann gefälschte oder "manipulierte" ARP-Nachrichten in das LAN senden.
Wenn die dynamische ARP-Prüfung (DAI) aktiviert ist, protokolliert der Switch die Anzahl ungültiger ARP-Pakete, die er auf jeder Schnittstelle empfängt, zusammen mit den IP- und MAC-Adressen des Senders. Mithilfe dieser Protokollmeldungen können Sie ARP-Spoofing im Netzwerk erkennen. ARP-Probe-Pakete werden nicht einer dynamischen ARP-Prüfung unterzogen. Der Switch leitet solche Pakete immer weiter.
In diesem Beispiel wird beschrieben, wie DHCP-Snooping und dynamic ARP Inspection (DAI), zwei Portsicherheitsfunktionen, konfiguriert werden, um den Switch vor ARP-Spoofing-Angriffen zu schützen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie oder ein QFX3500-Switch
Junos OS Version 11.4 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die QFX-Serie
Ein DHCP-Server zur Bereitstellung von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie DHCP-Snooping und DAI (zwei Portsicherheitsfunktionen) zur Abwehr von ARP-Spoofing-Angriffen konfigurieren, müssen Sie Folgendes beachten:
Den DHCP-Server mit dem Switch verbunden.
Konfiguration eines VLANs auf dem Switch. Sehen Sie sich die Aufgabe für Ihre Plattform an:
Überblick und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. In diesem Beispiel wird beschrieben, wie der Switch vor einer gemeinsamen Art von Angriff, einem ARP-Spoofing-Angriff, schützt.
Bei einem ARP-Spoofing-Angriff sendet der Angreifer gefälschte ARP-Nachrichten, was zu verschiedenen Arten von Problemen im LAN führt, z. B. kann der Angreifer einen Man-in-the-Middle-Angriff starten.
Dieses Beispiel zeigt, wie Sie Portsicherheitsfunktionen auf einem Switch konfigurieren, der mit einem DHCP-Server verbunden ist. Die Einrichtung für dieses Beispiel umfasst das VLAN Mitarbeiter-VLAN auf dem Switch. Das Verfahren zum Erstellen dieses VLANs wird im Thema beschrieben Beispiel: Einrichten von Bridging mit mehreren VLANs für Switches der EX-Serie und Beispiel: Einrichten von Bridging mit mehreren VLANs auf Switches für die QFX-Serie. Dieses Verfahren wird hier nicht wiederholt. Abbildung 1 zeigt die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
Eigenschafteneinstellungen | |
---|---|
Switch-Hardware |
Ein EX3200-24P, 24 Ports (8 PoE-Ports) oder ein QFX3500-Switch |
VLAN-Name und -ID |
Mitarbeiter-VLAN, Tag 20 |
VLAN-Subnetze |
192.0.2.16/28 192.0.2.17 bis 192.0.2.30192.0.2.31 ist die Broadcast-Adresse des Subnetzes |
Schnittstellen im Mitarbeiter-VLAN |
ge-0/0/1,ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Schnittstelle für DHCP-Server |
ge-0/0/8 |
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Der sichere Portzugriff ist auf dem Switch aktiviert.
DHCP-Snooping ist im VLAN mitarbeiter-vlan deaktiviert.
Alle Zugriffsports sind nicht vertrauenswürdig, was die Standardeinstellung ist.
Konfiguration
Konfigurieren von DHCP-Snooping und dynamic ARP Inspection (DAI), um den Switch vor ARP-Angriffen zu schützen:
Verfahren
CLI-Schnellkonfiguration
Um DHCP-Snooping und dynamic ARP Inspection (DAI) schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Switch-Terminal-Fenster ein:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted user@switch# set vlan employee-vlan examine-dhcp user@switch# set vlan employee-vlan arp-inspection
Schritt-für-Schritt-Verfahren
Konfigurieren Sie DHCP-Snooping und dynamic ARP Inspection (DAI) im VLAN:
Legen Sie die GE-0/0/8-Schnittstelle als vertrauenswürdig fest:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
Aktivieren Sie DHCP-Snooping im VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
DAI im VLAN aktivieren:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port] user@switch# show interface ge-0/0/8.0 { dhcp-trusted; } vlan employee-vlan { arp-inspection; examine-dhcp; }
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der ordnungsgemäßen Funktionsweise von DHCP-Snooping auf dem Switch
- Überprüfen der ordnungsgemäßen Arbeit von DAI auf dem Switch
Überprüfen der ordnungsgemäßen Funktionsweise von DHCP-Snooping auf dem Switch
Zweck
Überprüfen Sie, ob DHCP-Snooping auf dem Switch funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind es DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn der Port, auf dem sich der DHCP-Server mit dem Switch verbindet, vertrauenswürdig ist. Die folgenden Ausgabeergebnisse ergeben sich, wenn Anfragen von den MAC-Adressen gesendet werden und der Server die IP-Adressen zur Verfügung gestellt hat und leaset:
user@switch> show dhcp-snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee-vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee-vlan ge-0/0/3.0
Bedeutung
Wenn die Schnittstelle, über die sich der DHCP-Server mit dem Switch verbindet, auf vertrauenswürdig festgelegt wurde, zeigt die Ausgabe (siehe vorheriges Beispiel) für jede MAC-Adresse die zugewiesene IP-Adresse und Leasingzeit an, d. h. die Zeit, die in Sekunden verbleibt, bevor der Leasing abläuft.
Überprüfen der ordnungsgemäßen Arbeit von DAI auf dem Switch
Zweck
Vergewissern Sie sich, dass DAI auf dem Switch arbeitet.
Aktion
Senden Sie einige ARP-Anforderungen von Netzwerkgeräten, die mit dem Switch verbunden sind.
DAI-Informationen anzeigen:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Bedeutung
Die Beispielausgabe zeigt die Anzahl der ARP-Pakete, die pro Schnittstelle empfangen und geprüft wurden, wobei angegeben wird, wie viele Pakete weitergeleitet wurden und wie viele die Prüfung an jeder Schnittstelle fehlgeschlagen sind. Der Switch vergleicht die ARP-Anfragen und antwortet mit den Einträgen in der DHCP-Snooping-Datenbank. Wenn eine MAC-Adresse oder IP-Adresse im ARP-Paket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmt, wird das Paket abgebrochen.