Beispiel: Konfigurieren der MAC-Begrenzung
Beispiel: Schutz vor DHCP-Starvation-Angriffen
Bei einem DHCP-Starvation-Angriff überflutet ein Angreifer ein Ethernet-LAN mit DHCP-Anfragen von gefälschten (gefälschten) MAC-Adressen, was dazu führt, dass der überlastete DHCP-Server des Switches keine IP-Adressen und Lease-Zeiten mehr legitimen DHCP-Clients auf dem Switch zuweist (daher der Name Starvation). Anfragen von diesen Clients werden entweder verworfen oder an einen vom Angreifer eingerichteten nicht autorisierten DHCP-Server weitergeleitet.
In diesem Beispiel wird beschrieben, wie die MAC-Begrenzung, eine Portsicherheitsfunktion, konfiguriert wird, um den Switch vor DHCP-Starvation-Angriffen zu schützen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie oder QFX3500
Junos OS Version 9.0 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die Switches der QFX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie die MAC-Begrenzung, eine Portsicherheitsfunktion, zur Abwehr von DHCP-Hunger-Angriffen konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
Das VLAN employee-vlan auf dem Switch konfiguriert.
Übersicht und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. In diesem Beispiel wird beschrieben, wie Sie den Switch vor einem häufigen Angriffstyp schützen können, einem DHCP-Aushungerungsangriff.
Dieses Beispiel zeigt, wie Portsicherheitsfunktionen auf einem Switch konfiguriert werden, der mit einem DHCP-Server verbunden ist. Die Einrichtung für dieses Beispiel umfasst das VLAN employee-vlan auf dem Switch. Das Verfahren zum Erstellen dieses VLANs auf einem Switch der EX-Serie wird im Thema Beispiel: Einrichten von Bridging mit mehreren VLANs für Switches der EX-Serie beschrieben. Der Vorgang wiederholt sich hier nicht.
Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
QFX3500 Schalter |
VLAN-Name und -ID |
Mitarbeiter-VLAN |
Schnittstellen im Mitarbeiter-VLAN |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Der sichere Portzugriff ist auf dem Switch aktiviert.
Für keine der Schnittstellen ist ein MAC-Limit festgelegt.
DHCP-Snooping ist im VLAN employee-vlan deaktiviert.
Alle Zugriffsschnittstellen sind nicht vertrauenswürdig, was die Standardeinstellung ist.
Konfiguration
So konfigurieren Sie die Sicherheitsfunktion zur MAC-Begrenzung des Ports, um den Switch vor DHCP-Starvation-Angriffen zu schützen:
Verfahren
CLI-Schnellkonfiguration
Um die MAC-Begrenzung schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 3 action drop set interface ge-0/0/2 mac-limit 3 action drop
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die MAC-Begrenzung:
Konfigurieren Sie ein MAC-Limit von 3 auf ge-0/0/1 und geben Sie an, dass Pakete mit neuen Adressen verworfen werden, wenn das Limit auf der Schnittstelle überschritten wurde:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge–0/0/1mac-limit 3 action drop
Konfigurieren Sie ein MAC-Limit von 3 auf ge-0/0/2 und geben Sie an, dass Pakete mit neuen Adressen verworfen werden, wenn das Limit auf der Schnittstelle überschritten wurde:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 mac-limit 3 action drop
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 3 action drop;
}
interface ge-0/0/2.0 {
mac-limit 3 action drop;
}
Verifizierung
So bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob die MAC-Begrenzung auf dem Switch ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass die MAC-Begrenzung auf dem Switch funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Zeigt die MAC-Adressen an, die gelernt wurden, wenn DHCP-Anfragen von Hosts auf ge-0/0/1 und von Hosts auf ge-0/0/2 gesendet werden, wobei beide Schnittstellen auf ein MAC-Limit von 3 mit der Aktion drop gesetzt sind:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces default * Flood - ge-0/0/2.0 default 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Bedeutung
Die Beispielausgabe zeigt, dass bei einem MAC-Limit von 3 für jede Schnittstelle die DHCP-Anforderung für eine vierte MAC-Adresse auf ge-0/0/2 verworfen wurde, weil sie das MAC-Limit überschritten hat.
Da auf jeder der beiden Schnittstellen nur 3 MAC-Adressen erlernt werden können, schlagen versuchte DHCP-Starvation-Angriffe fehl.
Beispiel: Schutz vor unbefugten DHCP-Server-Angriffen
Bei einem nicht autorisierten DHCP-Serverangriff hat ein Angreifer einen nicht autorisierten Server in das Netzwerk eingeschleust, der es ihm ermöglicht, IP-Adressen-Leases an die DHCP-Clients des Netzwerks zu vergeben und sich selbst als Gateway-Gerät zuzuweisen.
In diesem Beispiel wird beschrieben, wie eine DHCP-Serverschnittstelle als nicht vertrauenswürdig konfiguriert wird, um den Switch vor einem nicht autorisierten DHCP-Server zu schützen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie oder ein QFX3500-Switch
Junos OS Version 9.0 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die QFX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie eine nicht vertrauenswürdige DHCP-Serverschnittstelle konfigurieren, um nicht autorisierte DHCP-Serverangriffe abzuwehren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
DHCP-Snooping im VLAN wurde aktiviert.
Es wurde ein VLAN auf dem Switch konfiguriert. Sehen Sie sich die Aufgabe für Ihre Plattform an:
Übersicht und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. In diesem Beispiel wird beschrieben, wie Sie den Switch vor nicht autorisierten DHCP-Serverangriffen schützen können.
In diesem Beispiel wird gezeigt, wie eine nicht vertrauenswürdige Schnittstelle auf einem EX3200-24P-Switch und einem QFX3500-Switch explizit konfiguriert wird. Abbildung 2 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 2 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein EX3200-24P, 24 Ports (8 PoE-Ports) oder ein QFX3500 Switch |
VLAN-Name und -ID |
Mitarbeiter-VLAN, Tag 20 |
VLAN-Subnetze |
192.0.2.16/28 192.0.2.17 bis 192.0.2.30192.0.2.31 ist die Broadcast-Adresse des Subnetzes |
Schnittstellen im Mitarbeiter-VLAN |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Der sichere Portzugriff ist auf dem Switch aktiviert.
DHCP-Snooping ist im VLAN employee-vlan aktiviert.
Die Schnittstelle (Port), über die der nicht autorisierte DHCP-Server eine Verbindung zum Switch hergestellt hat, ist derzeit vertrauenswürdig.
Konfiguration
So konfigurieren Sie die DHCP-Serverschnittstelle als nicht vertrauenswürdig, weil die Schnittstelle von einem nicht autorisierten DHCP-Server verwendet wird:
Verfahren
CLI-Schnellkonfiguration
Um die nicht autorisierte DHCP-Serverschnittstelle schnell als nicht vertrauenswürdig festzulegen, kopieren Sie den folgenden Befehl und fügen Sie ihn in das Fenster des Switch-Terminals ein:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
Schritt-für-Schritt-Anleitung
So legen Sie die DHCP-Serverschnittstelle als nicht vertrauenswürdig fest:
Geben Sie die Schnittstelle (Port) an, von der DHCP-Antworten nicht zulässig sind:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen, ob die DHCP-Serverschnittstelle nicht vertrauenswürdig ist
Zweck
Stellen Sie sicher, dass der DHCP-Server nicht vertrauenswürdig ist.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn der Port, über den der DHCP-Server eine Verbindung zum Switch herstellt, nicht vertrauenswürdig ist.
Bedeutung
Der Befehl gibt keine Ausgabe, da der DHCP-Snooping-Datenbank keine Einträge hinzugefügt werden.
Beispiel: Schutz vor Ethernet-Switching-Tabellenüberlauf-Angriffen
Bei einem Ethernet-Switching-Tabellenüberlaufangriff sendet ein Eindringling so viele Anfragen von neuen MAC-Adressen, dass sich die Ethernet-Switching-Tabelle füllt und dann überläuft, sodass der Switch gezwungen ist, alle Nachrichten zu senden.
In diesem Beispiel wird beschrieben, wie Sie die MAC-Begrenzung und die zulässigen MAC-Adressen, zwei Port-Sicherheitsfunktionen, konfigurieren, um den Switch vor Angriffen auf Ethernet-Switching-Tabellen zu schützen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie oder QFX3500 Switch
Junos OS Version 9.0 oder höher für Switches der EX-Serie oder Junos OS 12.1 oder höher für die QFX-Serie.
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie bestimmte Portsicherheitsfunktionen konfigurieren, um häufige Angriffe auf Zugriffsschnittstellen abzuwehren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
Es wurde ein VLAN auf dem Switch konfiguriert. Sehen Sie sich die Aufgabe für Ihre Plattform an:
Übersicht und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. In diesem Beispiel wird beschrieben, wie der Switch vor einem Angriff auf die Ethernet-Switching-Tabelle geschützt werden kann, der einen Überlauf der Tabelle verursacht und somit den Switch zwingt, alle Nachrichten zu senden.
Dieses Beispiel zeigt, wie Portsicherheitsfunktionen auf einem Switch konfiguriert werden, der mit einem DHCP-Server verbunden ist.
Die Einrichtung für dieses Beispiel umfasst das VLAN employee-vlan auf dem Switch. Das Verfahren zum Erstellen dieses VLANs wird im Thema Beispiel: Einrichten von Bridging mit mehreren VLANs für Switches der EX-Serie und Beispiel: Einrichten von Bridging mit mehreren VLANs für die QFX-Serie beschrieben. Dieses Verfahren wiederholt sich hier nicht. Abbildung 3 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 3 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein Switch der EX-Serie oder ein QFX3500-Switch |
VLAN-Name und -ID |
Mitarbeiter-VLAN, Tag 20 |
VLAN-Subnetze |
192.0.2.16/28192.0.2.17 bis 192.0.2.30 192.0.2.31 ist die Broadcast-Adresse des Subnetzes |
Schnittstellen im Mitarbeiter-VLAN |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
Verwenden Sie in diesem Beispiel die MAC-Limit-Funktion, um die Gesamtzahl der MAC-Adressen zu steuern, die der Ethernet-Switching-Tabelle für die angegebene Schnittstelle hinzugefügt werden können. Verwenden Sie die Funktion "Zulässige MAC-Adressen", um sicherzustellen, dass die Adressen von Netzwerkgeräten, deren Netzwerkzugriff kritisch ist, garantiert in der Ethernet-Switching-Tabelle enthalten sind.
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Der sichere Portzugriff ist auf dem Switch aktiviert.
Für keine der Schnittstellen ist ein MAC-Limit festgelegt.
Alle Zugriffsschnittstellen sind nicht vertrauenswürdig, was die Standardeinstellung ist.
Konfiguration
So konfigurieren Sie die MAC-Begrenzung und einige zulässige MAC-Adressen, um den Switch vor Angriffen auf den Überlauf der Ethernet-Switching-Tabelle zu schützen:
Verfahren
CLI-Schnellkonfiguration
Um die MAC-Begrenzung schnell zu konfigurieren, die MAC-Weiterleitungstabelle zu löschen und einige zulässige MAC-Adressen zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 action drop set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 exit exit clear ethernet-switching-table interface ge-0/0/1
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die MAC-Begrenzung und einige zulässige MAC-Adressen:
Konfigurieren Sie ein MAC-Limit von 4 auf ge-0/0/1 und geben Sie an, dass eingehende Pakete mit unterschiedlichen Adressen verworfen werden, sobald das Limit auf der Schnittstelle überschritten wird:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit (Access Port Security) 4 action drop
Löschen Sie die aktuellen Einträge für das Interface ge-0/0/1 aus der MAC-Adressenweiterleitungstabelle :
user@switch# clear ethernet-switching-table interface ge-0/0/1
Konfigurieren Sie die zulässigen MAC-Adressen auf ge-0/0/2:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4 action drop;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 ];
}
Verifizierung
So bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob die MAC-Begrenzung auf dem Switch ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass die MAC-Begrenzung auf dem Switch funktioniert.
Aktion
Zeigen Sie die MAC-Cache-Informationen an, nachdem DHCP-Anfragen von Hosts auf ge-0/0/1 gesendet wurden, wobei die Schnittstelle auf ein MAC-Limit von 4 mit der Aktion drop festgelegt wurde und nachdem vier zulässige MAC-Adressen auf der Schnittstelle ge/0/0/2 konfiguriert wurden:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:71 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:74 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan * Flood 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Bedeutung
Die Beispielausgabe zeigt, dass bei einem MAC-Limit von 4 für die Schnittstelle die DHCP-Anforderung für eine fünfte MAC-Adresse auf ge-0/0/1 verworfen wurde, weil sie das MAC-Limit überschritten hat, und dass nur die angegebenen zulässigen MAC-Adressen auf der ge-0/0/2-Schnittstelle gelernt wurden.