AUF DIESER SEITE
Beispiel: Schutz vor DHCP-Snooping-Datenbankangriffen
Bei einer Art von Angriff auf die DHCP-Snooping-Datenbank schleust ein Eindringling einen DHCP-Client auf einer nicht vertrauenswürdigen Zugriffsschnittstelle mit einer MAC-Adresse ein, die mit der eines Clients auf einer anderen nicht vertrauenswürdigen Schnittstelle identisch ist. Der Eindringling erwirbt dann die DHCP-Lease dieses anderen Clients und ändert so die Einträge in der DHCP-Snooping-Tabelle. Anschließend werden gültige ARP-Anfragen des legitimen Clients blockiert.
In diesem Beispiel wird beschrieben, wie Sie zulässige MAC-Adressen, eine Portsicherheitsfunktion, konfigurieren, um den Switch vor DHCP-Snooping-Datenbankänderungsangriffen zu schützen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie oder ein QFX3500-Switch
Junos OS Version 11.4 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die QFX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie bestimmte Portsicherheitsfunktionen konfigurieren, um gängige Angriffe auf Zugriffsschnittstellen abzuwehren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
Es wurde ein VLAN auf dem Switch konfiguriert. Sehen Sie sich die Aufgabe für Ihre Plattform an:
Übersicht und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. In diesem Beispiel wird beschrieben, wie der Switch vor einem Angriff auf die DHCP-Snooping-Datenbank geschützt wird, der die MAC-Adressen ändert, die einigen Clients zugewiesen sind.
Dieses Beispiel zeigt, wie Portsicherheitsfunktionen auf einem Switch konfiguriert werden, der mit einem DHCP-Server verbunden ist.
Die Einrichtung für dieses Beispiel umfasst das VLAN employee-vlan auf dem Switch. Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein EX3200-24P, 24 Ports (8 PoE-Ports) oder ein QFX3500 Switch |
VLAN-Name und -ID |
Mitarbeiter-VLAN, Tag 20 |
VLAN-Subnetze |
192.0.2.16/28 192.0.2.17 bis 192.0.2.30192.0.2.31 ist die Broadcast-Adresse des Subnetzes |
Schnittstellen im Mitarbeiter-VLAN |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Der sichere Portzugriff ist auf dem Switch aktiviert.
DHCP-Snooping ist im VLAN employee-vlan aktiviert.
Alle Zugriffsports sind nicht vertrauenswürdig, was die Standardeinstellung ist.
Konfiguration
So konfigurieren Sie zulässige MAC-Adressen, um den Switch vor DHCP-Snooping-Datenbankänderungsangriffen zu schützen:
Verfahren
CLI-Schnellkonfiguration
Um schnell einige zulässige MAC-Adressen auf einer Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminal-Fenster ein:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einige zulässige MAC-Adressen auf einer Schnittstelle:
Konfigurieren Sie die fünf zulässigen MAC-Adressen auf einer Schnittstelle:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 00:05:85:3a:82:88 ];
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen, ob zulässige MAC-Adressen auf dem Switch ordnungsgemäß funktionieren
Zweck
Stellen Sie sicher, dass die zulässigen MAC-Adressen auf dem Switch funktionieren.
Aktion
Zeigen Sie die MAC-Cache-Informationen an:
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Bedeutung
Die Ausgabe zeigt, dass die fünf MAC-Adressen, die als zulässige MAC-Adressen konfiguriert sind, gelernt wurden und im MAC-Cache angezeigt werden. Die letzte MAC-Adresse in der Liste, die nicht als zulässig konfiguriert wurde, wurde nicht zur Liste der gelernten Adressen hinzugefügt.