Beispiel: Schutz vor Adress-Spoofing und Layer-2-DoS-Angriffen
Sie können DHCP-Snooping, dynamische ARP-Inspektion (DAI) und MAC-Begrenzung auf den Zugriffsschnittstellen eines Switches konfigurieren, um den Switch und das Ethernet-LAN vor Adress-Spoofing und Layer-2-Denial-of-Service-Angriffen (DoS) zu schützen. Um die grundlegenden Einstellungen für diese Funktionen zu erhalten, können Sie die Standardkonfiguration des Switches für die Portsicherheit verwenden, das MAC-Limit konfigurieren und DHCP-Snooping und DAI in einem VLAN aktivieren. Sie können diese Funktionen konfigurieren, wenn der DHCP-Server mit einem Switch verbunden ist, der sich von dem Switch unterscheidet, mit dem die DHCP-Clients (Netzwerkgeräte) verbunden sind.
In diesem Beispiel wird beschrieben, wie Portsicherheitsfunktionen auf einem Switch konfiguriert werden, dessen Hosts IP-Adressen und Lease-Zeiten von einem DHCP-Server beziehen, der mit einem zweiten Switch verbunden ist:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie oder QFX3500-Switch: In diesem Beispiel Switch 1 .
Ein zusätzlicher Switch der EX-Serie oder QFX3500-Switch – in diesem Beispiel Switch 2 . Sie konfigurieren die Portsicherheit auf diesem zweiten Switch nicht.
Junos OS Version 9.0 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die QFX-Serie.
Ein DHCP-Server, der mit Switch 2 verbunden ist. Sie verwenden den Server, um IP-Adressen für Netzwerkgeräte bereitzustellen, die mit Switch 1 verbunden sind.
Mindestens zwei Netzwerkgeräte (Hosts), die Sie mit Zugriffsschnittstellen auf Switch 1 verbinden. Bei diesen Geräten handelt es sich um DHCP-Clients.
Bevor Sie DHCP-Snooping-, DAI- und MAC-einschränkende Portsicherheitsfunktionen konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Der DHCP-Server wurde mit Switch 2 verbunden.
Es wurde ein VLAN auf Switch 1 konfiguriert. Sehen Sie sich die Aufgabe für Ihre Plattform an:
Übersicht und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. Um die Geräte vor solchen Angriffen zu schützen, können Sie Folgendes konfigurieren:
DHCP-Snooping zur Validierung von DHCP-Servernachrichten
DAI zum Schutz vor ARP-Spoofing
MAC-Begrenzung, um die Anzahl der MAC-Adressen einzuschränken, die der Switch seinem MAC-Adress-Cache hinzufügt
Dieses Beispiel zeigt, wie diese Portsicherheitsfunktionen auf Switch 1 konfiguriert werden. Switch 1 ist mit einem anderen Switch (Switch 2) verbunden, der nicht mit Portsicherheitsfunktionen konfiguriert ist. Switch 2 ist mit einem DHCP-Server verbunden (siehe Abbildung 1). Netzwerkgeräte (Hosts), die mit Switch 1 verbunden sind, senden Anforderungen für IP-Adressen (bei diesen Netzwerkgeräten handelt es sich um DHCP-Clients). Diese Anforderungen werden von Switch 1 an Switch 2 und dann an den DHCP-Server übertragen, der mit Switch 2 verbunden ist. Die Antworten auf die Anforderungen werden über den umgekehrten Pfad der Anfrage übertragen, auf den die Anforderungen folgen.
Das Setup für dieses Beispiel umfasst das VLAN employee-vlan auf beiden Switches.
Abbildung 1 zeigt die Netzwerktopologie für das Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein Switch der EX-Serie oder ein QFX3500-Switch (Switch 1) und ein zusätzlicher Switch oder QFX3500-Switch der EX-Serie (Switch 2) |
VLAN-Name und -ID |
|
VLAN-Subnetze |
|
Trunk-Schnittstelle auf beiden Switches |
GE-0/0/11 |
Zugriffsschnittstellen auf Switch 1 |
GE-0/0/1, GE-0/0/2 und GE-0/0/3 |
Zugriffsschnittstelle auf Switch 2 |
GE-0/0/1 |
Schnittstelle für DHCP-Server |
ge-0/0/1 auf Schalter 2 |
Switch 1 wird anfänglich mit der Standard-Portsicherheitseinrichtung konfiguriert. In der Standardkonfiguration auf dem Switch:
Der sichere Portzugriff ist auf dem Switch aktiviert.
Der Switch verwirft keine Pakete, was die Standardeinstellung ist.
DHCP-Snooping und DAI sind in allen VLANs deaktiviert.
Alle Zugriffsschnittstellen sind nicht vertrauenswürdig und Trunk-Schnittstellen sind vertrauenswürdig. Dies sind die Standardeinstellungen.
In den Konfigurationsaufgaben für dieses Beispiel konfigurieren Sie ein VLAN auf beiden Switches.
Zusätzlich zur Konfiguration des VLANs aktivieren Sie DHCP-Snooping auf Switch 1. In diesem Beispiel aktivieren Sie auch DAI und ein MAC-Limit von 5 auf Switch 1.
Da es sich bei der Schnittstelle, die Switch 2 mit Switch 1 verbindet, um eine Trunk-Schnittstelle handelt, müssen Sie diese Schnittstelle nicht so konfigurieren, dass sie als vertrauenswürdig eingestuft wird. Wie oben erwähnt, werden Trunk-Schnittstellen automatisch als vertrauenswürdig eingestuft, d. h., DHCP-Nachrichten, die vom DHCP-Server an Switch 2 und dann weiter an Switch 1 kommen, sind vertrauenswürdig.
Konfigurieren von VLAN, Schnittstellen und Port-Sicherheitsfunktionen auf Switch 1
Verfahren
CLI-Schnellkonfiguration
Um schnell ein VLAN, Schnittstellen und Port-Sicherheitsfunktionen zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set ethernet-switching-options secure-access-port interface ge-0/0/1 mac-limit 5 action drop set ethernet-switching-options secure-access-port vlan employee-vlan arp-inspection set ethernet-switching-options secure-access-port vlan employee-vlan examine-dhcp clear ethernet-switching table interface ge-0/0/1
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die MAC-Begrenzung, ein VLAN und Schnittstellen auf Switch 1 und aktivieren DAI und DHCP im VLAN:
Konfigurieren Sie das VLAN
employee-vlanmit VLAN-ID20:[edit vlans] user@switch1# set employee-vlan vlan-id 20
Konfigurieren Sie eine Schnittstelle auf Switch 1 als Trunk-Schnittstelle:
[edit interfaces] user@switch1# set ge-0/0/11 unit 0 family ethernet-switching port-mode trunk
Verknüpfen Sie das VLAN mit den Schnittstellen ge-0/0/1, ge-0/0/2, ge-0/0/3 und ge-0/0/11:
[edit interfaces] user@switch1# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/2 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/3 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
DHCP-Snooping im VLAN aktivieren:
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan examine-dhcp
Aktivieren Sie DAI im VLAN:
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan arp-inspection
Konfigurieren Sie ein MAC-Limit von
5ge-0/0/1 und verwenden Sie die Standardaktion (Pakete mit neuen Adressen werden verworfen,dropwenn das Limit überschritten wird):[edit ethernet-switching-options secure-access-port] user@switch1# set interface ge-0/0/1 mac-limit 5 drop
Löschen Sie die vorhandenen MAC-Adresstabelleneinträge aus dem Interface ge-0/0/1:
user@switch1# clear ethernet-switching table interface ge-0/0/1
Befund
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch1# show
ethernet-switching-options {
secure-access-port {
interface ge-0/0/1.0{
mac-limit 5 action drop;
}
vlan employee-vlan {
arp-inspection;
examine-dhcp;
}
}
}
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
port-mode trunk;
members 20;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members 20;
}
}
}
}
}
vlans {
employee-vlan {
vlan-id 20;
}
}
Konfigurieren eines VLAN und von Schnittstellen auf Switch 2
So konfigurieren Sie das VLAN und die Schnittstellen auf Switch 2:
Verfahren
CLI-Schnellkonfiguration
Um das VLAN und die Schnittstellen auf Switch 2 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20
Schritt-für-Schritt-Anleitung
So konfigurieren Sie das VLAN und die Schnittstellen auf Switch 2:
Konfigurieren Sie das VLAN
employee-vlanmit VLAN-ID20:[edit vlans] user@switch1# set employee-vlan vlan-id 20
Konfigurieren Sie eine Schnittstelle auf Switch 2 als Trunk-Schnittstelle:
[edit interfaces] user@switch2# set ge-0/0/11 unit 0 ethernet-switching port-mode trunk
Verknüpfen Sie das VLAN mit den Schnittstellen ge-0/0/1 und ge-0/0/11:
[edit interfaces] user@switch2# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch2# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
Befund
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch2# show
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members 20;
}
}
}
}
}
vlans {
employee-vlan {
vlan-id 20;
}
}
Verifizierung
So bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob DHCP-Snooping auf Switch 1 ordnungsgemäß funktioniert
- Überprüfen, ob DAI auf Switch 1 ordnungsgemäß funktioniert
- Überprüfen, ob die MAC-Begrenzung auf Switch 1 ordnungsgemäß funktioniert
Überprüfen, ob DHCP-Snooping auf Switch 1 ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass DHCP-Snooping auf Switch 1 funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Geben Sie den Befehl show dhcp snooping binding operational mode aus, um die DHCP-Snooping-Informationen anzuzeigen, wenn die Schnittstelle, über die Switch 2 die DHCP-Serverantworten an Clients sendet, die mit Switch 1 verbunden sind, vertrauenswürdig ist. Der Server hat die IP-Adressen und Leases bereitgestellt:
user@switch1> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:90 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:91 192.0.2.21 1230 dynamic employee—vlan ge-0/0/3.0
Bedeutung
Die Ausgabe zeigt für jede MAC-Adresse die zugewiesene IP-Adresse und die Lease-Zeit an, d. h. die Zeit in Sekunden, die bis zum Ablauf der Lease verbleibt.
Überprüfen, ob DAI auf Switch 1 ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass DAI auf Switch 1 funktioniert.
Aktion
Senden Sie einige ARP-Anforderungen von Netzwerkgeräten, die mit dem Switch verbunden sind.
Geben Sie den Befehl show arp inspection statistics operational mode ein, um die DAI-Informationen anzuzeigen:
user@switch1> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ---------- –-------------–- ------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 18 15 3
Bedeutung
Die Ausgabe zeigt die Anzahl der empfangenen und geprüften ARP-Pakete pro Schnittstelle an, mit einer Auflistung, wie viele Pakete bestanden wurden und wie viele die Prüfung auf jeder Schnittstelle nicht bestanden haben. Der Switch vergleicht die ARP-Anfragen und -Antworten mit den Einträgen in der DHCP-Snooping-Datenbank. Wenn eine MAC- oder IP-Adresse im ARP-Paket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmt, wird das Paket verworfen.
Überprüfen, ob die MAC-Begrenzung auf Switch 1 ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass die MAC-Begrenzung auf Switch 1 funktioniert.
Aktion
Geben Sie den Befehl show ethernet-switching table operational mode ein, um die MAC-Adressen anzuzeigen, die gelernt werden, wenn DHCP-Anfragen von Hosts auf ge-0/0/1 gesendet werden:
user@switch1> show ethernet-switching table
Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/1.0 employee-vlan * Flood - ge-0/0/1.0
Bedeutung
Die Ausgabe zeigt, dass fünf MAC-Adressen für die Schnittstelle ge-0/0/1gelernt wurden, was dem in der Konfiguration festgelegten MAC-Limit 5 von entspricht. Die letzte Zeile der Ausgabe zeigt, dass eine sechste MAC-Adressanforderung verworfen wurde, wie durch das Sternchen (*) in der MAC address Spalte angegeben.