AUF DIESER SEITE
Beispiel: Konfigurieren von IP Source Guard und dynamischer ARP-Prüfung in einer angegebenen Bridge-Domäne zum Schutz der Geräte vor Angriffen
In diesem Beispiel wird beschrieben, wie Sie den IP-Quellschutz und die dynamische ARP-Inspektion (DAI) für eine bestimmte Bridge-Domäne aktivieren, um das Gerät vor gefälschten IP/MAC-Adressen und ARP-Spoofing-Angriffen zu schützen. Wenn Sie entweder IP Source Guard oder DAI aktivieren, aktiviert die Konfiguration automatisch DHCP-Snooping für dieselbe Bridge-Domäne.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Router der MX-Serie
Junos OS Version 14.1
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Gerät
Bevor Sie IP Source Guard konfigurieren, um IP/MAC-Spoofing zu verhindern, oder DAI zur Abwehr von ARP-Spoofing-Angriffen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Verbinden Sie den DHCP-Server mit dem Gerät.
Sie haben die Bridge-Domäne konfiguriert, der Sie DHCP-Sicherheitsfunktionen hinzufügen. Weitere Informationen finden Sie unter Konfigurieren der Bridge-Domäne für Cloud-CPE-Services des Routers der MX-Serie.
Übersicht und Topologie
Ethernet-LAN-Geräte sind anfällig für Angriffe auf die Sicherheit, bei denen Spoofing (Fälschung) von MAC-Quelladressen oder Quell-IP-Adressen zum Einsatz kommt. Diese gefälschten Pakete werden von Hosts gesendet, die mit nicht vertrauenswürdigen Zugriffsschnittstellen auf dem Gerät verbunden sind. Der IP-Quellschutz überprüft die IP-Quelladresse und die MAC-Quelladresse in einem Paket, das von einem Host gesendet wird, der an eine nicht vertrauenswürdige Zugriffsschnittstelle auf dem Gerät angeschlossen ist, anhand von Einträgen, die in der DHCP-Snooping-Datenbank gespeichert sind. Wenn der IP-Quellwächter feststellt, dass der Paketheader eine ungültige Quell-IP-Adresse oder Quell-MAC-Adresse enthält, stellt er sicher, dass das Gerät das Paket nicht weiterleitet, d. h., das Paket wird verworfen.
Eine weitere Art von Sicherheitsangriff ist ARP-Spoofing (auch bekannt als ARP-Poisoning oder ARP-Cache-Poisoning). ARP-Spoofing ist eine Möglichkeit, Man-in-the-Middle-Angriffe zu initiieren. Der Angreifer sendet ein ARP-Paket, das die MAC-Adresse eines anderen Geräts in der Bridge-Domäne fälscht. Anstatt dass das Gerät Datenverkehr an das richtige Netzwerkgerät sendet, sendet es ihn an das Gerät mit der gefälschten Adresse, das sich als das richtige Gerät ausgibt. Wenn es sich bei dem Gerät, das die Identität annimmt, um den Computer des Angreifers handelt, erhält der Angreifer den gesamten Datenverkehr vom Gerät, der an ein anderes Gerät hätte weitergeleitet werden sollen. Das Ergebnis ist, dass der Datenverkehr vom Gerät fehlgeleitet wird und sein richtiges Ziel nicht erreichen kann.
Wenn DAI aktiviert ist, protokolliert das Gerät die Anzahl der ungültigen ARP-Pakete, die es auf jeder Schnittstelle empfängt, zusammen mit den IP- und MAC-Adressen des Absenders. Sie können diese Protokollmeldungen verwenden, um ARP-Spoofing im Netzwerk zu entdecken.
In diesem Beispiel wird gezeigt, wie diese wichtigen Portsicherheitsfunktionen auf einem Gerät konfiguriert werden, das mit einem DHCP-Server verbunden ist. Das Setup für dieses Beispiel umfasst die Bridge-Domäne employee-bdomain auf dem Switching-Gerät. Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.
Die Trunk-Schnittstelle, die eine Verbindung zur DHCP-Serverschnittstelle herstellt, ist standardmäßig ein vertrauenswürdiger Port.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Gerätehardware |
Ein Router der MX-Serie |
Bridge-Domainname und -ID |
|
Überbrückungsdomänen-Subnetze |
|
Schnittstellen in |
|
Schnittstelle, die eine Verbindung zum DHCP-Server herstellt |
|
In diesem Beispiel wurde das Gerät bereits wie folgt konfiguriert:
Alle Zugriffsports sind nicht vertrauenswürdig, was die Standardeinstellung ist.
Der Trunk-Port (ge-0/0/8) ist vertrauenswürdig, was die Standardeinstellung ist.
Die Bridge-Domäne (
employee-bdomain) wurde so konfiguriert, dass sie die angegebenen Schnittstellen enthält.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Kopieren Sie die folgenden Befehle, um IP-Quellschutz und DAI schnell zu konfigurieren (und damit auch DHCP-Snooping automatisch zu konfigurieren, um das Gerät vor IP-Spoofing und ARP-Angriffen zu schützen), und fügen Sie sie in das Geräteterminalfenster ein:
[edit] set bridge-domains employee-bdomain forwarding-options dhcp-security ip-source-guard set bridge-domains employee-bdomain forwarding-options dhcp-security arp-inspection
Schritt-für-Schritt-Anleitung
Gehen Sie wie folgt vor, um den IP-Quellschutz und die DAI (und damit auch das DHCP-Snooping automatisch zu konfigurieren) in der Bridge-Domäne zu konfigurieren:
Konfigurieren Sie den IP-Quellschutz in der Bridge-Domäne:
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set ip-source-guard
Aktivieren Sie DAI in der Bridge-Domäne:
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set arp-inspection
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
user@device> show bridge-domains employee-bdomain forwarding-options
employee-bdomain {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob DHCP-Snooping auf dem Gerät ordnungsgemäß funktioniert
- Überprüfen, ob IP Source Guard in der Bridge-Domäne funktioniert
- Überprüfen, ob DAI auf dem Gerät ordnungsgemäß funktioniert
Überprüfen, ob DHCP-Snooping auf dem Gerät ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass DHCP-Snooping auf dem Gerät funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Gerät verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn der Port, über den der DHCP-Server eine Verbindung zum Gerät herstellt, vertrauenswürdig ist. Die folgende Ausgabe ergibt sich, wenn Anforderungen von den MAC-Adressen gesendet werden und der Server die IP-Adressen und Leases bereitgestellt hat:
user@device> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Bedeutung
Wenn die Schnittstelle, über die der DHCP-Server eine Verbindung mit dem Gerät herstellt, auf vertrauenswürdig festgelegt wurde, zeigt die Ausgabe (siehe vorheriges Beispiel) für die zugewiesene IP-Adresse die MAC-Adresse des Geräts, den VLAN-Namen und die verbleibende Zeit in Sekunden bis zum Ablauf der Lease an.
Überprüfen, ob IP Source Guard in der Bridge-Domäne funktioniert
Zweck
Stellen Sie sicher, dass der IP-Quellschutz aktiviert ist und in der Bridge-Domäne funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Gerät verbunden sind. Zeigen Sie die IP-Source-Guard-Informationen für die Data Bridge-Domäne an.
user@device> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Bedeutung
Die Datenbanktabelle IP Source Guard enthält die VLANS und Bridge-Domänen, die für IP Source Guard aktiviert sind.
Überprüfen, ob DAI auf dem Gerät ordnungsgemäß funktioniert
Zweck
Vergewissern Sie sich, dass DAI auf dem Gerät funktioniert.
Aktion
Senden Sie einige ARP-Anforderungen von Netzwerkgeräten, die mit dem Gerät verbunden sind.
Zeigen Sie die DAI-Informationen an:
user@device> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Bedeutung
Die Beispielausgabe zeigt die Anzahl der ARP-Pakete, die pro Schnittstelle empfangen und geprüft wurden, mit einer Auflistung, wie viele Pakete bestanden wurden und wie viele die Überprüfung auf jeder Schnittstelle nicht bestanden haben. Das Gerät vergleicht die ARP-Anfragen und -Antworten mit den Einträgen in der DHCP-Snooping-Datenbank. Wenn eine MAC- oder IP-Adresse im ARP-Paket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmt, wird das Paket verworfen.