AUF DIESER SEITE
Beispiel: Konfigurieren von IP Source Guard und Dynamic ARP Inspection zum Schutz des Switches vor IP-Spoofing und ARP-Spoofing
In diesem Beispiel wird Junos OS mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Schutz vor ARP-Spoofing-Angriffen. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Auf EX9200-Switches werden DHCP-Snooping, DAI und IP-Quellschutz in einem MC-LAG-Szenario nicht unterstützt.
In diesem Beispiel wird beschrieben, wie Sie den IP-Quellschutz und Dynamic ARP Inspection (DAI) in einem bestimmten VLAN aktivieren, um den Switch vor gefälschten IP/MAC-Adressen und ARP-Spoofing-Angriffen zu schützen. Wenn Sie entweder IP Source Guard oder DAI aktivieren, aktiviert die Konfiguration automatisch DHCP-Snooping für dasselbe VLAN.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100-, QFX5110- und QFX5200-Switches.
Ein EX4300-Switch oder EX9200-Switch
Junos OS Version 13.2X50-D10 oder höher für Switches der EX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie IP Source Guard konfigurieren, um IP/MAC-Spoofing zu verhindern, oder DAI zur Abwehr von ARP-Spoofing-Angriffen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
Das VLAN konfiguriert, dem Sie DHCP-Sicherheitsfunktionen hinzufügen.
Übersicht und Topologie
Ethernet-LAN-Switches sind anfällig für Angriffe auf die Sicherheit, bei denen Spoofing (Fälschung) von Quell-MAC-Adressen oder Quell-IP-Adressen zum Einsatz kommt. Diese gefälschten Pakete werden von Hosts gesendet, die mit nicht vertrauenswürdigen Zugriffsschnittstellen auf dem Switch verbunden sind. Diese gefälschten Pakete werden von Hosts gesendet, die mit nicht vertrauenswürdigen Zugriffsschnittstellen auf dem Switch verbunden sind. IP Source Guard prüft die IP-Quelladresse und MAC-Quelladresse in einem Paket, das von einem Host gesendet wird, der an eine nicht vertrauenswürdige Zugriffsschnittstelle auf dem Switch angeschlossen ist, anhand von Einträgen, die in der DHCP-Snooping-Datenbank gespeichert sind. Wenn der IP-Quellwächter feststellt, dass der Paket-Header eine ungültige Quell-IP-Adresse oder Quell-MAC-Adresse enthält, stellt er sicher, dass der Switch das Paket nicht weiterleitet, d. h., das Paket wird verworfen.
Eine weitere Art von Sicherheitsangriff ist ARP-Spoofing (auch bekannt als ARP-Poisoning oder ARP-Cache-Poisoning). ARP-Spoofing ist eine Möglichkeit, Man-in-the-Middle-Angriffe zu initiieren. Der Angreifer sendet ein ARP-Paket, das die MAC-Adresse eines anderen Geräts im LAN fälscht. Anstatt dass der Switch Datenverkehr an das richtige Netzwerkgerät sendet, sendet er ihn an das Gerät mit der gefälschten Adresse, das sich als das richtige Gerät ausgibt. Wenn es sich bei dem Gerät, das die Identität annimmt, um den Computer des Angreifers handelt, erhält der Angreifer den gesamten Datenverkehr vom Switch, der an ein anderes Gerät hätte gehen sollen. Das Ergebnis ist, dass der Datenverkehr vom Switch fehlgeleitet wird und sein richtiges Ziel nicht erreichen kann.
Wenn die dynamische ARP-Inspektion (DAI) aktiviert ist, protokolliert der Switch die Anzahl der ungültigen ARP-Pakete, die er auf jeder Schnittstelle empfängt, zusammen mit den IP- und MAC-Adressen des Absenders. Sie können diese Protokollmeldungen verwenden, um ARP-Spoofing im Netzwerk zu entdecken.
Dieses Beispiel zeigt, wie diese wichtigen Portsicherheitsfunktionen auf einem Switch konfiguriert werden, der mit einem DHCP-Server verbunden ist. Das Setup für dieses Beispiel umfasst das VLAN employee-vlan auf dem Switch. Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.
Die Trunk-Schnittstelle, die eine Verbindung zur DHCP-Serverschnittstelle herstellt, ist standardmäßig ein vertrauenswürdiger Port. Wenn Sie einen DHCP-Server an einen Zugriffsport anschließen, müssen Sie den Port als vertrauenswürdig konfigurieren. Bevor Sie dies tun, stellen Sie sicher, dass der Server physisch sicher ist, d. h., dass der Zugriff auf den Server überwacht und gesteuert wird. Weitere Informationen zu vertrauenswürdigen und nicht vertrauenswürdigen Ports für DHCP finden Sie unter Verstehen und Verwenden von vertrauenswürdigen DHCP-Servern.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein EX4300- oder EX9200-Switch |
VLAN-Name und -ID |
|
|
|
VLAN-Subnetze |
|
Schnittstellen in |
|
Schnittstelle, die eine Verbindung zum DHCP-Server herstellt |
|
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Alle Zugriffsports sind nicht vertrauenswürdig, was die Standardeinstellung ist.
Der Trunk-Port (
ge-0/0/8) ist vertrauenswürdig, was die Standardeinstellung ist.Das VLAN (
employee-vlan) wurde so konfiguriert, dass es die angegebenen Schnittstellen enthält.
Konfiguration
So konfigurieren Sie IP Source Guard und DAI (und damit auch DHCP-Snooping automatisch), um den Switch vor IP-Spoofing und ARP-Angriffen zu schützen:
Verfahren
CLI-Schnellkonfiguration
Um schnell IP Source Guard und DAI zu konfigurieren (und damit auch DHCP-Snooping automatisch zu konfigurieren), kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminal-Fenster ein:
[edit] set vlans employee-vlan forwarding-options dhcp-security ip-source-guard set vlans employee-vlan forwarding-options dhcp-security arp-inspection
Schritt-für-Schritt-Anleitung
Konfigurieren Sie den IP-Quellwächter und die DAI (und damit auch das DHCP-Snooping automatisch) im VLAN:
Konfigurieren Sie den IP-Quellschutz im VLAN:
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set ip-source-guard
Aktivieren Sie DAI im VLAN:
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set arp-inspection
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show vlans employee-vlan forwarding-options
employee-vlan {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob DHCP-Snooping auf dem Switch ordnungsgemäß funktioniert
- Überprüfen, ob IP Source Guard im VLAN funktioniert
- Überprüfen, ob DAI auf dem Switch ordnungsgemäß funktioniert
Überprüfen, ob DHCP-Snooping auf dem Switch ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass DHCP-Snooping auf dem Switch funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn der Port, an dem der DHCP-Server eine Verbindung zum Switch herstellt, vertrauenswürdig ist. Die folgende Ausgabe ergibt sich, wenn Anforderungen von den MAC-Adressen gesendet werden und der Server die IP-Adressen und Leases bereitgestellt hat:
user@switch> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Bedeutung
Wenn die Schnittstelle, über die der DHCP-Server eine Verbindung zum Switch herstellt, auf vertrauenswürdig festgelegt wurde, zeigt die Ausgabe (siehe vorheriges Beispiel) für die zugewiesene IP-Adresse die MAC-Adresse des Geräts, den VLAN-Namen und die verbleibende Zeit in Sekunden bis zum Ablauf der Lease an.
Überprüfen, ob IP Source Guard im VLAN funktioniert
Zweck
Stellen Sie sicher, dass der IP-Quellschutz aktiviert ist und im VLAN funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind. Zeigen Sie die IP-Quellschutzinformationen für das Daten-VLAN an.
user@switch> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Bedeutung
Die Datenbanktabelle IP Source Guard enthält die VLANs, die für IP Source Guard aktiviert sind.
Überprüfen, ob DAI auf dem Switch ordnungsgemäß funktioniert
Zweck
Vergewissern Sie sich, dass DAI auf dem Switch funktioniert.
Aktion
Senden Sie einige ARP-Anforderungen von Netzwerkgeräten, die mit dem Switch verbunden sind.
Zeigen Sie die DAI-Informationen an:
user@switch> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Bedeutung
Die Beispielausgabe zeigt die Anzahl der ARP-Pakete, die pro Schnittstelle empfangen und geprüft wurden, mit einer Auflistung, wie viele Pakete bestanden wurden und wie viele die Überprüfung auf jeder Schnittstelle nicht bestanden haben. Der Switch vergleicht die ARP-Anfragen und -Antworten mit den Einträgen in der DHCP-Snooping-Datenbank. Wenn eine MAC- oder IP-Adresse im ARP-Paket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmt, wird das Paket verworfen.