Beispiel: Konfigurieren der MAC-Begrenzung
Beispiel: Schutz vor DHCP-Hungerattacken
Bei einem DHCP-Hungerangriff überflutet ein Angreifer ein Ethernet-LAN mit DHCP-Anfragen von gefälschten (gefälschten) MAC-Adressen, was dazu führt, dass der überlastete DHCP-Server des Switches legitimen DHCP-Clients auf dem Switch keine IP-Adressen mehr zuweist und keine Lease-Zeiten mehr gewährt (daher der Name Hunger). Anforderungen von diesen Clients werden entweder verworfen oder an einen vom Angreifer eingerichteten nicht autorisierten DHCP-Server weitergeleitet.
In diesem Beispiel wird beschrieben, wie Sie die MAC-Begrenzung konfigurieren, eine Portsicherheitsfunktion, um den Switch vor DHCP-Angriffen zu schützen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
One EX-Serie oder QFX3500 Switch
Junos OS Release 9.0 oder höher für Switches der EX-Serie oder Junos OS Release 12.1 oder höher für den Switch der QFX-Serie
Ein DHCP-Server zur Bereitstellung von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie die MAC-Begrenzung konfigurieren, eine Portsicherheitsfunktion, um DHCP-Hungerattacken abzuwehren, stellen Sie sicher, dass Sie über Folgendes verfügen:
DHCP-Server mit dem Switch verbunden.
VLAN-Mitarbeiter-VLAN auf dem Switch konfiguriert.
Übersicht und Topologie
Ethernet-LANs sind anfällig für Adress-Spoofing und DoS-Angriffe auf Netzwerkgeräte. In diesem Beispiel wird beschrieben, wie der Switch vor einer häufigen Art von Angriff, einem DHCP-Hungerangriff, geschützt wird.
Dieses Beispiel zeigt, wie Portsicherheitsfunktionen auf einem Switch konfiguriert werden, der mit einem DHCP-Server verbunden ist. Das Setup für dieses Beispiel umfasst das VLAN employee-VLAN auf dem Switch. Das Verfahren zum Erstellen dieses VLANs auf einem Switch der EX-Serie wird im Thema Beispiel: Einrichten von Bridging mit mehreren VLANs für Switches der EX-Serie beschrieben. Das Prozedere wird hier nicht wiederholt.
Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
QFX3500 Switch |
VLAN-Name und -ID |
Mitarbeiter-VLAN |
Schnittstellen im Mitarbeiter-VLAN |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Der sichere Portzugriff ist auf dem Switch aktiviert.
Für keine der Schnittstellen ist ein MAC-Limit festgelegt.
DHCP-Snooping ist im VLAN-Mitarbeiter-VLAN deaktiviert.
Alle Zugriffsschnittstellen sind nicht vertrauenswürdig, was die Standardeinstellung ist.
Konfiguration
So konfigurieren Sie die Sicherheitsfunktion zur Begrenzung des MAC-Ports zum Schutz des Switches vor DHCP-Hungerangriffen:
Verfahren
CLI Schnellkonfiguration
Um die MAC-Begrenzung schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 3 action drop set interface ge-0/0/2 mac-limit 3 action drop
Schritt-für-Schritt-Anleitung
Konfigurieren der MAC-Begrenzung:
Konfigurieren Sie ein MAC-Limit von 3 für ge-0/0/1 und geben Sie an, dass Pakete mit neuen Adressen verworfen werden, wenn das Limit auf der Schnittstelle überschritten wurde:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge–0/0/1mac-limit 3 action drop
Konfigurieren Sie ein MAC-Limit von 3 für ge-0/0/2 und geben Sie an, dass Pakete mit neuen Adressen verworfen werden, wenn das Limit auf der Schnittstelle überschritten wurde:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 mac-limit 3 action drop
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 3 action drop;
}
interface ge-0/0/2.0 {
mac-limit 3 action drop;
}
Verifizierung
So bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob die MAC-Begrenzung auf dem Switch korrekt funktioniert
Zweck
Vergewissern Sie sich, dass die MAC-Begrenzung auf dem Switch funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die MAC-Adressen an, die Sie gelernt haben, wenn DHCP-Anforderungen von Hosts auf ge-0/0/1 und von Hosts auf ge-0/0/2 gesendet werden, wobei beide Schnittstellen auf ein MAC-Limit von 3 mit der Aktion drop gesetzt sind:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces default * Flood - ge-0/0/2.0 default 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Bedeutung
Die Beispielausgabe zeigt, dass bei einem MAC-Limit von 3 für jede Schnittstelle die DHCP-Anforderung für eine vierte MAC-Adresse auf ge-0/0/2 verworfen wurde, weil sie das MAC-Limit überschritten hat.
Da auf jeder der beiden Schnittstellen nur 3 MAC-Adressen gelernt werden können, schlagen versuchte DHCP-Hungerattacken fehl.
Beispiel: Schutz vor nicht autorisierten DHCP-Serverangriffen
Bei einem nicht autorisierten DHCP-Serverangriff hat ein Angreifer einen nicht autorisierten Server in das Netzwerk eingeschleust, der es ihm ermöglicht, IP-Adressleases an die DHCP-Clients des Netzwerks zu vergeben und sich selbst als Gateway-Gerät zuzuweisen.
In diesem Beispiel wird beschrieben, wie eine DHCP-Serverschnittstelle als nicht vertrauenswürdig konfiguriert wird, um den Switch vor einem nicht autorisierten DHCP-Server zu schützen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein EX-Serie Switch oder ein QFX3500 Switch
Junos OS Version 9.0 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die QFX-Serie
Ein DHCP-Server zur Bereitstellung von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie eine nicht vertrauenswürdige DHCP-Serverschnittstelle konfigurieren, um nicht autorisierte DHCP-Serverangriffe abzuwehren, stellen Sie sicher, dass Sie über Folgendes verfügen:
DHCP-Server mit dem Switch verbunden.
DHCP-Snooping im VLAN aktiviert.
VLAN auf dem Switch konfiguriert. Sehen Sie sich die Aufgabe für Ihre Plattform an:
Übersicht und Topologie
Ethernet-LANs sind anfällig für Adress-Spoofing und DoS-Angriffe auf Netzwerkgeräte. In diesem Beispiel wird beschrieben, wie der Switch vor unbefugten DHCP-Serverangriffen geschützt wird.
Dieses Beispiel zeigt, wie eine nicht vertrauenswürdige Schnittstelle auf einem EX3200-24P-Switch und einem QFX3500-Switch explizit konfiguriert wird. Abbildung 2 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 2 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein EX3200-24P, 24 Ports (8 PoE-Ports) oder ein QFX3500-Switch |
VLAN-Name und -ID |
Mitarbeiter-VLAN, Tag 20 |
VLAN-Subnetze |
192.0.2.16/28 192.0.2.17 bis 192.0.2.30192.0.2.31 ist die Broadcast-Adresse des Subnetzes |
Schnittstellen im Mitarbeiter-VLAN |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Der sichere Portzugriff ist auf dem Switch aktiviert.
DHCP-Snooping ist im VLAN-Mitarbeiter-VLAN aktiviert.
Die Schnittstelle (Port), über die der nicht autorisierte DHCP-Server eine Verbindung zum Switch hergestellt hat, wird derzeit als vertrauenswürdig eingestuft.
Konfiguration
So konfigurieren Sie die DHCP-Serverschnittstelle als nicht vertrauenswürdig, weil die Schnittstelle von einem nicht autorisierten DHCP-Server verwendet wird:
Verfahren
CLI Schnellkonfiguration
Um die nicht autorisierte DHCP-Serverschnittstelle schnell als nicht vertrauenswürdig festzulegen, kopieren Sie den folgenden Befehl und fügen Sie ihn in das Terminalfenster des Switches ein:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
Schritt-für-Schritt-Anleitung
So legen Sie die DHCP-Serverschnittstelle als nicht vertrauenswürdig fest:
Geben Sie die Schnittstelle (den Port) an, von der keine DHCP-Antworten zulässig sind:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen, ob die DHCP-Serverschnittstelle nicht vertrauenswürdig ist
Zweck
Stellen Sie sicher, dass der DHCP-Server nicht vertrauenswürdig ist.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn der Port, über den der DHCP-Server eine Verbindung zum Switch herstellt, nicht vertrauenswürdig ist.
Bedeutung
Der Befehl gibt keine Ausgabe, da der DHCP-Snooping-Datenbank keine Einträge hinzugefügt werden.
Beispiel: Schutz vor Ethernet-Switching-Tabellenüberlaufangriffen
Bei einem Überlaufangriff auf eine Ethernet-Switching-Tabelle sendet ein Eindringling so viele Anfragen von neuen MAC-Adressen, dass sich die Ethernet-Switching-Tabelle füllt und dann überläuft, sodass der Switch gezwungen ist, alle Nachrichten zu senden.
In diesem Beispiel wird beschrieben, wie die MAC-Begrenzung und die zulässigen MAC-Adressen, zwei Port-Sicherheitsfunktionen, konfiguriert werden, um den Switch vor Angriffen auf Ethernet-Switching-Tabellen zu schützen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
One EX-Serie Switch oder QFX3500 Switch
Junos OS Version 9.0 oder höher für Switches der EX-Serie oder Junos OS 12.1 oder höher für die QFX-Serie.
Ein DHCP-Server zur Bereitstellung von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie bestimmte Portsicherheitsfunktionen konfigurieren, um häufige Angriffe auf Zugriffsschnittstellen abzuwehren, stellen Sie sicher, dass Sie über Folgendes verfügen:
DHCP-Server mit dem Switch verbunden.
VLAN auf dem Switch konfiguriert. Sehen Sie sich die Aufgabe für Ihre Plattform an:
Übersicht und Topologie
Ethernet-LANs sind anfällig für Adress-Spoofing und DoS-Angriffe auf Netzwerkgeräte. In diesem Beispiel wird beschrieben, wie der Switch vor einem Angriff auf die Ethernet-Switching-Tabelle geschützt wird, der einen Überlauf der Tabelle verursacht und den Switch somit zwingt, alle Nachrichten zu übertragen.
Dieses Beispiel zeigt, wie Portsicherheitsfunktionen auf einem Switch konfiguriert werden, der mit einem DHCP-Server verbunden ist.
Das Setup für dieses Beispiel umfasst das VLAN employee-VLAN auf dem Switch. Das Verfahren zum Erstellen dieses VLANs wird in den Themen Beispiel: Einrichten von Bridging mit mehreren VLANs für Switches der EX-Serie und Beispiel: Einrichten von Bridging mit mehreren VLANs für die QFX-Serie beschrieben. Dieses Verfahren wird hier nicht wiederholt. Abbildung 3 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 3 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein EX-Serie Switch oder ein QFX3500 Switch |
VLAN-Name und -ID |
Mitarbeiter-VLAN, Tag 20 |
VLAN-Subnetze |
192.0.2.16/28192.0.2.17 bis 192.0.2.30 192.0.2.31 ist die Broadcast-Adresse des Subnetzes. |
Schnittstellen im Mitarbeiter-VLAN |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
Verwenden Sie in diesem Beispiel die Funktion MAC-Limit, um die Gesamtzahl der MAC-Adressen zu steuern, die der Ethernet-Switching-Tabelle für die angegebene Schnittstelle hinzugefügt werden können. Verwenden Sie die Funktion "Zulässige MAC-Adressen", um sicherzustellen, dass die Adressen von Netzwerkgeräten, deren Netzwerkzugriff kritisch ist, garantiert in der Ethernet-Switching-Tabelle enthalten sind.
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Der sichere Portzugriff ist auf dem Switch aktiviert.
Für keine der Schnittstellen ist ein MAC-Limit festgelegt.
Alle Zugriffsschnittstellen sind nicht vertrauenswürdig, was die Standardeinstellung ist.
Konfiguration
So konfigurieren Sie die MAC-Begrenzung und einige zulässige MAC-Adressen zum Schutz des Switches vor Ethernet-Switching-Tabellenüberlaufangriffen:
Verfahren
CLI Schnellkonfiguration
Um die MAC-Begrenzung schnell zu konfigurieren, die MAC-Weiterleitungstabelle zu löschen und einige zulässige MAC-Adressen zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster des Switches ein:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 action drop set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 exit exit clear ethernet-switching-table interface ge-0/0/1
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die MAC-Begrenzung und einige zulässige MAC-Adressen:
Konfigurieren Sie ein MAC-Limit von 4 für ge-0/0/1 und geben Sie an, dass eingehende Pakete mit unterschiedlichen Adressen verworfen werden, sobald das Limit auf der Schnittstelle überschritten wird:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit (Access Port Security) 4 action drop
Löschen Sie die aktuellen Einträge für die Schnittstelle ge-0/0/1 aus der Weiterleitungstabelle MAC-Adresse:
user@switch# clear ethernet-switching-table interface ge-0/0/1
Konfigurieren Sie die zulässigen MAC-Adressen auf ge-0/0/2:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4 action drop;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 ];
}
Verifizierung
So bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob die MAC-Begrenzung auf dem Switch korrekt funktioniert
Zweck
Vergewissern Sie sich, dass die MAC-Begrenzung auf dem Switch funktioniert.
Aktion
Zeigen Sie die MAC-Cache-Informationen an, nachdem DHCP-Anforderungen von Hosts auf ge-0/0/1 gesendet wurden, wobei die Schnittstelle auf ein MAC-Limit von 4 mit der Aktion drop festgelegt wurde und nachdem vier zulässige MAC-Adressen auf der Schnittstelle ge/0/0/2 konfiguriert wurden:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:71 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:74 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan * Flood 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Bedeutung
Die Beispielausgabe zeigt, dass bei einem MAC-Limit von 4 für die Schnittstelle die DHCP-Anforderung für eine fünfte MAC-Adresse auf ge-0/0/1 verworfen wurde, weil sie das MAC-Limit überschritten hat und dass nur die angegebenen zulässigen MAC-Adressen auf der ge-0/0/2-Schnittstelle gelernt wurden.