AUF DIESER SEITE
Beispiel: Schutz vor unbefugten DHCP-Server-Angriffen
Bei einem nicht autorisierten DHCP-Serverangriff hat ein Angreifer einen nicht autorisierten Server in das Netzwerk eingeschleust, der es ihm ermöglicht, IP-Adressen-Leases an die DHCP-Clients des Netzwerks zu vergeben und sich selbst als Gateway-Gerät zuzuweisen.
In diesem Beispiel wird beschrieben, wie eine DHCP-Serverschnittstelle als nicht vertrauenswürdig konfiguriert wird, um den Switch vor einem nicht autorisierten DHCP-Server zu schützen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie oder ein QFX3500-Switch
Junos OS Version 9.0 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die QFX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie eine nicht vertrauenswürdige DHCP-Serverschnittstelle konfigurieren, um nicht autorisierte DHCP-Serverangriffe abzuwehren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
DHCP-Snooping im VLAN wurde aktiviert.
Es wurde ein VLAN auf dem Switch konfiguriert. Sehen Sie sich die Aufgabe für Ihre Plattform an:
Übersicht und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. In diesem Beispiel wird beschrieben, wie Sie den Switch vor nicht autorisierten DHCP-Serverangriffen schützen können.
In diesem Beispiel wird gezeigt, wie eine nicht vertrauenswürdige Schnittstelle auf einem EX3200-24P-Switch und einem QFX3500-Switch explizit konfiguriert wird. Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein EX3200-24P, 24 Ports (8 PoE-Ports) oder ein QFX3500 Switch |
VLAN-Name und -ID |
Mitarbeiter-VLAN, Tag 20 |
VLAN-Subnetze |
192.0.2.16/28 192.0.2.17 bis 192.0.2.30192.0.2.31 ist die Broadcast-Adresse des Subnetzes |
Schnittstellen im Mitarbeiter-VLAN |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Der sichere Portzugriff ist auf dem Switch aktiviert.
DHCP-Snooping ist im VLAN employee-vlan aktiviert.
Die Schnittstelle (Port), über die der nicht autorisierte DHCP-Server eine Verbindung zum Switch hergestellt hat, ist derzeit vertrauenswürdig.
Konfiguration
So konfigurieren Sie die DHCP-Serverschnittstelle als nicht vertrauenswürdig, weil die Schnittstelle von einem nicht autorisierten DHCP-Server verwendet wird:
Verfahren
CLI-Schnellkonfiguration
Um die nicht autorisierte DHCP-Serverschnittstelle schnell als nicht vertrauenswürdig festzulegen, kopieren Sie den folgenden Befehl und fügen Sie ihn in das Fenster des Switch-Terminals ein:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
Schritt-für-Schritt-Anleitung
So legen Sie die DHCP-Serverschnittstelle als nicht vertrauenswürdig fest:
Geben Sie die Schnittstelle (Port) an, von der DHCP-Antworten nicht zulässig sind:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen, ob die DHCP-Serverschnittstelle nicht vertrauenswürdig ist
Zweck
Stellen Sie sicher, dass der DHCP-Server nicht vertrauenswürdig ist.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn der Port, über den der DHCP-Server eine Verbindung zum Switch herstellt, nicht vertrauenswürdig ist.
Bedeutung
Der Befehl gibt keine Ausgabe, da der DHCP-Snooping-Datenbank keine Einträge hinzugefügt werden.