Überblick über Portsicherheit
Portsicherheitsfunktionen
Ethernet-LANs sind anfällig für Angriffe wie Address Spoofing (Forging) und Layer 2 Denial of Service (DoS) auf Netzwerkgeräten. Portsicherheitsfunktionen schützen die Zugriffsports auf Ihrem Gerät vor Informationsverlust und Produktivität, den solche Angriffe verursachen können.
Junos OS wird durch die Trennung von Steuerungsweiterleitungs- und Dienstebenen gehärtet, wobei jede Funktion im geschützten Speicher ausgeführt wird. Die Control-Plane-CPU wird durch Begrenzung der Übertragungsrate, Routing-Richtlinien und Firewall-Filter geschützt, um auch bei schwerwiegenden Angriffen die Switch-Verfügbarkeit zu gewährleisten.
Junos OS bietet Funktionen zur Sicherung von Ports auf einem Gerät. Ports können entweder als vertrauenswürdig oder nicht vertrauenswürdig eingestuft werden. Sie wenden für jede Kategorie angemessene Richtlinien an, um Ports vor verschiedenen Arten von Angriffen zu schützen.
Sicherheitsfunktionen für den Zugriffsport wie dynamische ARP-Prüfung (Address Resolution Protocol), DHCP-Snooping und MAC-Begrenzung werden über einen einzigen Junos OS CLI-Befehl gesteuert. Grundlegende Portsicherheitsfunktionen sind in der Standardkonfiguration des Geräts aktiviert. Sie können zusätzliche Funktionen mit minimalen Konfigurationsschritten konfigurieren. Abhängig von der jeweiligen Funktion können Sie die Funktion entweder auf VLANs oder Bridge-Domänenschnittstellen konfigurieren.
Ab Junos OS Version 18.4R1 erfolgt DHCP-Snooping auf vertrauenswürdigen Ports für die folgenden Switches der Juniper-Serie, EX2300, EX4600 und QFX5K. Vor Junos OS Version 18.4R1 war dies für diese Geräte nur für DHCPv6-Snooping der Fall. Darüber hinaus erfolgt DHCP-Snooping auf vertrauenswürdigen Ports für Switches der EX9200-Serie und Fusion Enterprises, die Junos OS Version 19.1R1 und höher ausführen.
Die Ethernet-Switches der EX-Serie von Juniper Networks bieten die folgenden Hardware- und Softwaresicherheitsfunktionen:
Console Port— Ermöglicht die Verwendung des Konsolenports zur Verbindung mit der Routing-Engine über ein RJ-45-Kabel. Sie verwenden dann die Befehlszeilenschnittstelle (CLI), um den Switch zu konfigurieren.
Out-of-Band Management— Ein dedizierter Management-Ethernet-Port auf der Rückseite ermöglicht die Out-of-Band-Verwaltung.
Software Images— Alle Junos OS-Bilder werden von der Juniper Networks Certificate Authority (CA) mit Public Key Infrastructure (PKI) signiert.
User Authentication, Authorization, and Accounting (AAA)— Zu den Funktionen gehören:
Benutzer- und Gruppenkonten mit Kennwortverschlüsselung und Authentifizierung.
Konfigurierbare Zugriffsberechtigungsebenen für Anmeldeklassen und Benutzervorlagen.
RADIUS-Authentifizierung, TACACS+-Authentifizierung oder beides für die Authentifizierung von Benutzern, die versuchen, auf den Switch zuzugreifen.
Überwachung von Konfigurationsänderungen durch Systemprotokollierung oder RADIUS/TACACS+.
802.1X Authentication— Bietet Netzwerkzugangskontrolle. Supplicants (Hosts) werden authentifiziert, wenn sie sich zunächst mit einem LAN verbinden. Die Authentifizierung von Supplicants, bevor sie eine IP-Adresse von einem DHCP-Server erhalten, verhindert, dass unbefugte Supplicants Zugriff auf das LAN erhalten. Die Switches der EX-Serie unterstützen EAP-Methoden (Extensible Authentication Protocol), einschließlich EAP-MD5, EAP-TLS, EAP-TTLS und EAP-PEAP.
Port Security— Die auf Switching-Geräten unterstützten Zugriffs-Portsicherheitsfunktionen sind:
DHCP-Snooping: Filtert und blockiert eingehende DHCP-Servernachrichten (Dynamic Host Configuration Protocol) auf nicht vertrauenswürdigen Ports und erstellt und verwaltet eine Datenbank mit DHCP-Leasinginformationen, die als DHCP-Snooping-Datenbank bezeichnet wird.
Hinweis:DHCP-Snooping ist in der Standardkonfiguration des Switching-Geräts nicht aktiviert. DHCP-Snooping ist in einer VLAN- oder Bridge-Domäne aktiviert. Die Details zur Aktivierung von DHCP-Snooping hängen vom jeweiligen Gerät ab.
Vertrauenswürdiger DHCP-Server: Die Konfiguration des DHCP-Servers auf einem vertrauenswürdigen Port schützt vor unbefugten DHCP-Servern, die Leases senden. Sie aktivieren diese Funktion an einer Schnittstelle (Port). Zugriffsports sind standardmäßig nicht vertrauenswürdig, und Trunk-Ports werden vertrauenswürdig. (Zugriffsports sind die Switch-Ports, die mit Ethernet-Endgeräten wie Benutzer-PCs und Laptops, Servern und Druckern verbunden sind. Trunk-Ports sind die Switch-Ports, die einen Ethernet-Switch mit anderen Switches oder Routern verbinden.)
DHCPv6-Snooping – DHCP-Snooping für IPv6.
DHCP-Option 82– Auch bekannt als DHCP-Relay-Agent-Informationen. Diese DHCPv4-Funktion schützt das Switching-Gerät vor Angriffen wie Spoofing von IP-Adressen und MAC-Adressen und DHCP-IP-Adressen. Option 82 stellt Informationen zum Netzwerkstandort eines DHCP-Clients bereit, und der DHCP-Server verwendet diese Informationen zur Implementierung von IP-Adressen oder anderen Parametern für den Client.
DHCPv6 Option 37– Option 37 ist die Remote-ID-Option für DHCPv6 und wird zum Einfügen von Informationen über den Netzwerkstandort des Remotehosts in DHCPv6-Pakete verwendet. Sie aktivieren Option 37 auf einem VLAN.
Hinweis:DHCPv6-Snooping mit Option 37 wird auf der MX-Serie nicht unterstützt.
DHCPv6 Option 18– Option 18 ist die Circuit ID-Option für DHCPv6 und wird zum Einfügen von Informationen über den Client-Port in DHCPv6-Pakete verwendet. Diese Option enthält weitere Details, die optional konfiguriert werden können, wie das Präfix und die Schnittstellenbeschreibung.
DHCPv6 Option 16– Option 16 ist die Anbieter-ID-Option für DHCPv6 und wird zum Einfügen von Informationen über den Anbieter der Client-Hardware in DHCPv6-Pakete verwendet.
Dynamic ARP Inspection (DAI) – Verhindert ARP-Spoofing-Angriffe (Address Resolution Protocol). ARP-Anfragen und Antworten werden mit Einträgen in der DHCP-Snooping-Datenbank verglichen, und Filterentscheidungen werden anhand der Ergebnisse dieser Vergleiche getroffen. Sie aktivieren DAI in einem VLAN.
IPv6 Neighbor Discovery Inspection – Verhindert IPv6-Adressen-Spoofing-Angriffe. Neighbor Discovery-Anfragen und Antworten werden mit Einträgen in der DHCPv6-Snooping-Datenbank verglichen, und Filterentscheidungen werden auf der Grundlage der Ergebnisse dieser Vergleiche getroffen. Sie aktivieren die Neighbor Discovery Inspection in einem VLAN.
IP Source Guard: Mildert die Auswirkungen von IP-Adressen-Spoofing-Angriffen auf das Ethernet-LAN. Bei aktiviertem IP Source Guard wird die Quell-IP-Adresse im Paket, das von einer nicht vertrauenswürdigen Zugriffsschnittstelle gesendet wird, mit der DHCP-Snooping-Datenbank validiert. Wenn das Paket nicht validiert werden kann, wird es verworfen. Sie aktivieren IP Source Guard in einer VLAN- oder Bridge-Domäne.
IPv6 Source Guard – IP Source Guard für IPv6.
MAC-Begrenzung: Schützt vor Überflutung der Ethernet-Switching-Tabelle (auch bekannt als MAC-Weiterleitungstabelle oder Layer 2-Weiterleitungstabelle). Sie können die MAC-Begrenzung auf einer Schnittstelle aktivieren.
BEGRENZUNG DER MAC-Bewegung: Überwacht die MAC-Bewegung und erkennt MAC-Spoofing an Zugriffsports. Sie aktivieren diese Funktion in einer VLAN- oder Bridge-Domäne.
Persistent MAC Learning – auch bekannt als Sticky MAC. Durch persistentes MAC-Lernen können Schnittstellen dynamisch erlernte MAC-Adressen über Switch-Neustarts hinweg beibehalten. Sie aktivieren diese Funktion auf einer Schnittstelle.
Unbeschränkter Proxy-ARP: Der Switch reagiert mit seiner eigenen MAC-Adresse auf alle ARP-Nachrichten. Hosts, die mit den Schnittstellen des Switches verbunden sind, können nicht direkt mit anderen Hosts kommunizieren. Stattdessen laufen alle Kommunikationen zwischen Hosts über den Switch.
Eingeschränktes Proxy-ARP: Der Switch reagiert nicht auf eine ARP-Anforderung, wenn die physischen Netzwerke von Quelle und Ziel der ARP-Anforderung identisch sind. Dabei spielt es keine Rolle, ob der Zielhost die gleiche IP-Adresse wie die eingehende Schnittstelle oder eine andere (Remote-) IP-Adresse hat. Eine ARP-Anfrage für eine Broadcast-Adresse gibt keine Antwort.
Device Security– Storm Control ermöglicht es dem Switch, unbekannten Unicast- und Broadcast-Datenverkehr zu überwachen und Pakete zu löschen, die Schnittstelle herunterzufahren oder vorübergehend zu deaktivieren, wenn ein bestimmtes Datenverkehrsniveau überschritten wird, wodurch verhindert wird, dass Pakete sich weiter verbreiten und das LAN beeinträchtigen. Sie können Sturmkontrolle an Zugriffsschnittstellen oder Trunkschnittstellen aktivieren.
Encryption Standards— Zu den unterstützten Standards gehören:
Advanced Encryption Standard (AES) mit 128, 192 und 256 Bit
56-Bit Data Encryption Standard (DES) und 168-Bit 3DES
Siehe auch
Informationen zum Schutz von Zugriffsports vor häufigen Angriffen
Die Portsicherheitsfunktionen können die Ethernet-Switches der EX-Serie und QFX10000-Serie von Juniper Networks vor verschiedenen Arten von Angriffen schützen. Schutzmethoden gegen einige häufige Angriffe sind:
- Abwehr von Ethernet-Switching-Tabellenüberlaufangriffen
- Abwehr rogueer DHCP-Serverangriffe
- Schutz vor ARP-Spoofing-Angriffen (Gilt nicht für Switches der QFX10000-Serie)
- Schutz vor DHCP-Snooping-Datenbankänderungsangriffen (gilt nicht für Switches der QFX10000-Serie)
- Schutz vor DHCP-Hungerangriffen
Abwehr von Ethernet-Switching-Tabellenüberlaufangriffen
Bei einem Überlaufangriff auf die Ethernet-Switching-Tabelle sendet ein Eindringling so viele Anfragen von neuen MAC-Adressen, dass die Tabelle nicht alle Adressen erlernen kann. Wenn der Switch die Informationen in der Tabelle nicht mehr für die Weiterleitung des Datenverkehrs verwenden kann, wird er gezwungen, Nachrichten zu senden. Der Datenverkehrsfluss auf dem Switch wird unterbrochen und Pakete werden an alle Hosts im Netzwerk gesendet. Neben der Überlastung des Netzwerks mit Datenverkehr könnte der Angreifer auch in der Lage sein, den broadcast-Datenverkehr zu erfassen.
Konfigurieren Sie zur Abwehr solcher Angriffe sowohl ein MAC-Limit für erlernte MAC-Adressen als auch einige bestimmte zulässige MAC-Adressen. Verwenden Sie die MAC-Begrenzungsfunktion, um die Gesamtzahl der MAC-Adressen zu steuern, die der Ethernet-Switching-Tabelle für die angegebene Schnittstelle oder Schnittstellen hinzugefügt werden können. Durch das Festlegen der ausdrücklich zulässigen MAC-Adressen stellen Sie sicher, dass die Adressen von Netzwerkgeräten, deren Netzwerkzugriff kritisch ist, garantiert in die Ethernet-Switching-Tabelle aufgenommen werden. Siehe Beispiel: Schutz vor Ethernet-Switching-Tabellenüberlaufangriffen.
Sie können auch gelernte MAC-Adressen so konfigurieren, dass sie auf jeder Schnittstelle beibehalten werden. Dieses persistente MAC-Lernen wird in Kombination mit einem konfigurierten MAC-Limit verwendet und hilft, Datenverkehrsverluste nach einem Neustart oder einem Interface-Down-Ereignis zu verhindern und erhöht auch die Portsicherheit, indem die an der Schnittstelle zulässigen MAC-Adressen begrenzt werden.
Abwehr rogueer DHCP-Serverangriffe
Wenn ein Angreifer einen rogue DHCP-Server einrichtet, um einen legitimen DHCP-Server im LAN zu verkörpern, kann der Rogue-Server mit der Ausgabe von Leases an die DHCP-Clients des Netzwerks beginnen. Die von diesem Rogue-Server an die Clients übermittelten Informationen können den Netzwerkzugriff unterbrechen und DoS verursachen. Der Rogue-Server kann sich auch als Standard-Gateway-Gerät für das Netzwerk zuweisen. Der Angreifer kann dann den Netzwerkdatenverkehr sniffen und einen Man-in-the-Middle-Angriff angreifen– das heißt, er wendet den Datenverkehr für ein legitimes Netzwerkgerät an ein Gerät seiner Wahl in die irre.
Legen Sie die Schnittstelle, an die dieser Rogue-Server angeschlossen ist, als nicht vertrauenswürdig fest, um einen Rogue DHCP-Serverangriff abzuschwächen. Diese Aktion blockiert alle eingehenden DHCP-Servernachrichten von dieser Schnittstelle. Siehe Beispiel: Schutz vor rogueen DHCP-Serverangriffen.
Der Switch protokolliert alle DHCP-Serverpakete, die auf nicht vertrauenswürdigen Ports empfangen werden, z. B.:
5 nicht vertrauenswürdige DHCPOFFER empfangen, Schnittstelle ge-0/0/0.0[65], vlan v1[10] Server ip/mac 12.12.12.1/00:00:00:00:01:12 angebot ip/client mac 12.12.12.253/00:AA:BB:CC:DD:01
Sie können diese Nachrichten verwenden, um schädliche DHCP-Server im Netzwerk zu erkennen.
Für Switches der QFX-Serie, einschließlich QFX10000, müssen Sie den Port als vertrauenswürdig konfigurieren, wenn Sie einen DHCP-Server an einen Zugriffsport anschließen.
Schutz vor ARP-Spoofing-Angriffen (Gilt nicht für Switches der QFX10000-Serie)
Bei ARP-Spoofing sendet ein Angreifer gefälschte ARP-Nachrichten an das Netzwerk. Der Angreifer verknüpft seine eigene MAC-Adresse mit der IP-Adresse eines mit dem Switch verbundenen Netzwerkgeräts. Jeder Datenverkehr, der an diese IP-Adresse gesendet wird, wird stattdessen an den Angreifer gesendet. Jetzt kann der Angreifer verschiedene Arten von Unheil erzeugen, z. B. die Pakete, die für einen anderen Host vorgesehen waren, und Man-in-the-Middle-Angriffe verüben. (Bei einem Man-in-the-Middle-Angriff fängt der Angreifer Nachrichten zwischen zwei Hosts ab, liest sie und ändert sie vielleicht, ohne dass die ursprünglichen Hosts wissen, dass ihre Kommunikation kompromittiert wurde.)
Aktivieren Sie sowohl DHCP-Snooping als auch dynamische ARP-Inspection (DAI) zum Schutz vor ARP-Spoofing auf Ihrem Switch. DHCP-Snooping erstellt und verwaltet die DHCP-Snooping-Tabelle. Diese Tabelle enthält MAC-Adressen, IP-Adressen, Leasingzeiten, Bindungstypen, VLAN-Informationen und Schnittstelleninformationen für die nicht vertrauenswürdigen Schnittstellen auf dem Switch. DAI verwendet die Informationen in der DHCP-Snooping-Tabelle, um ARP-Pakete zu validieren. Ungültige ARP-Pakete werden blockiert, und wenn sie blockiert werden, wird eine Systemprotokollnachricht aufgezeichnet, die den ARP-Pakettyp sowie die IP-Adresse und MAC-Adresse des Senders enthält.
Schutz vor DHCP-Snooping-Datenbankänderungsangriffen (gilt nicht für Switches der QFX10000-Serie)
Bei einem Angriff zur Änderung der DHCP-Snooping-Datenbank führt ein Eindringling einen DHCP-Client auf einer der nicht vertrauenswürdigen Zugriffsschnittstellen des Switches ein, die eine MAC-Adresse hat, die mit der eines Clients auf einem anderen nicht vertrauenswürdigen Port identisch ist. Der Eindringling erwirbt die DHCP-Lease, was zu Änderungen der Einträge in der DHCP-Snooping-Tabelle führt. Anschließend werden die gültigen ARP-Anfragen des legitimen Clients blockiert.
Konfigurieren Sie MAC-Adressen, die auf der Schnittstelle explizit zulässig sind, um sich vor dieser Art von Änderung der DHCP-Snooping-Datenbank zu schützen. Siehe Beispiel: Schutz vor DHCP-Snooping-Datenbankangriffen.
Schutz vor DHCP-Hungerangriffen
Bei einem DHCP-Hungerangriff überflutet ein Angreifer ein Ethernet-LAN mit DHCP-Anfragen von gefälschten (gefälschten) MAC-Adressen, sodass die vertrauenswürdigen DHCP-Server des Switches nicht mit Anforderungen von legitimen DHCP-Clients auf dem Switch Schritt halten können. Der Adressraum dieser Server wird vollständig verbraucht, sodass sie keine IP-Adressen mehr zuweisen und Clients keine Leasingzeiten mehr zuweisen können. DHCP-Anfragen von diesen Clients werden entweder abgebrochen – d. h. das Ergebnis ist ein Denial-of-Service (DoS) – oder an einen rogueen DHCP-Server weitergeleitet, der vom Angreifer eingerichtet wurde, um einen legitimen DHCP-Server im LAN zu identitätsieren.
Verwenden Sie die MAC-Begrenzungsfunktion, um den Switch vor DHCP-Hungerangriffen zu schützen. Geben Sie die maximale Anzahl von MAC-Adressen an, die der Switch an den Zugriffsschnittstellen lernen kann, mit denen diese Clients verbunden sind. Der DHCP-Server oder die Server des Switches können dann die angegebene Anzahl von IP-Adressen und -Leases an diese Clients und nicht mehr liefern. Wenn ein DHCP-Hungerangriff auftritt, nachdem die maximale Anzahl von IP-Adressen zugewiesen wurde, schlägt der Angriff fehl. Siehe Beispiel: Schutz vor DHCP-Hungerangriffen.
Für zusätzlichen Schutz auf Switches der EX-Serie können Sie gelernte MAC-Adressen auf jeder Schnittstelle so konfigurieren, dass sie bei Neustarts des Switches beibehalten werden, indem Sie persistentes MAC-Lernen aktivieren. Dieses dauerhafte MAC-Lernen hilft sowohl, Datenverkehrsverluste nach einem Neustart zu verhindern, als auch dafür, dass auch nach einem Neustart oder einem Interface-Down-Ereignis die dauerhaften MAC-Adressen erneut in die Weiterleitungsdatenbank eingegeben werden, anstatt dass der Switch neue MAC-Adressen lernt.
Siehe auch
Konfigurieren von Portsicherheit (ELS)
Die beschriebenen Funktionen werden auf Switches der EX-Serie unterstützt und unterstützen den Konfigurationsstil der Enhanced Layer 2 Software (ELS). Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, siehe Konfigurieren von Portsicherheit (nicht-ELS). ELS-Details finden Sie unter Verwenden der Enhanced Layer 2 Software CLI.
Ethernet-LANs sind anfällig für Angriffe wie Address Spoofing und Layer 2 Denial of Service (DoS) auf Netzwerkgeräten. Die DHCP-Portsicherheitsfunktionen schützen die Zugriffsports auf dem Switch vor Informationsverlusten und Produktivitätsverlusten, die sich aus solchen Angriffen ergeben können.
Für DHCPv4 werden folgende Portsicherheitsfunktionen unterstützt:
DHCP-Snooping
Dynamic ARP Inspection (DAI)
IP-Source-Guard
DHCP-Option 82
Für DHCPv6 werden folgende Portsicherheitsfunktionen unterstützt:
DHCPv6-Snooping
IPv6 Neighbor Discovery Inspection
IPv6 Source Guard
DHCPv6 Option 37, Option 18 und Option 16
DHCP-Snooping und DHCPv6-Snooping sind in jedem VLAN standardmäßig deaktiviert. Zur Aktivierung von DHCP-Snooping oder DHCPv6-Snooping wird keine explizite CLI-Konfiguration verwendet. Wenn Sie eine der Portsicherheitsfunktionen für ein VLAN auf Hierarchieebene [edit vlans vlan-name forwarding-options dhcp-security] konfigurieren, werden DHCP-Snooping und DHCPv6-Snooping in diesem VLAN automatisch aktiviert.
Ab Junos OS Version 14.1X53-D47 und 15.1R6 können Sie DHCP-Snooping oder DHCPv6-Snooping auf einem VLAN aktivieren, ohne andere Portsicherheitsfunktionen zu konfigurieren, indem Sie die dhcp-security CLI-Anweisung auf der [edit vlans vlan-name forwarding-options] Hierarchieebene konfigurieren.
DAI, IPv6 Neighbor Discovery Inspection, IP Source Guard, IPv6 Source Guard, DHCP-Option 82 und DHCPv6-Optionen werden pro VLAN konfiguriert. Sie müssen ein VLAN konfigurieren, bevor Sie diese DHCP-Portsicherheitsfunktionen konfigurieren. Siehe Konfigurieren von VLANs für Switches der EX-Serie mit ELS-Unterstützung (CLI-Prozedur).
Die dhcp-Portsicherheitsfunktionen, die Sie für das VLAN angeben, gelten für alle in diesem VLAN enthaltenen Schnittstellen. Sie können jedoch einer Zugriffsschnittstelle oder einer Gruppe von Zugriffsschnittstellen innerhalb des VLAN unterschiedliche Attribute zuweisen. Die Zugriffsschnittstelle oder -schnittstellen müssen zunächst als Gruppe mithilfe der group Anweisung auf Hierarchieebene [edit vlans vlan-name forwarding-options dhcp-security] konfiguriert werden. Eine Gruppe muss mindestens eine Schnittstelle haben.
Die Konfiguration einer Gruppe von Zugriffsschnittstellen in einem VLAN auf Hierarchieebene [edit vlans vlan-name forwarding-options dhcp-security] ermöglicht automatisch DHCP-Snooping für alle Schnittstellen im VLAN.
Folgende Attribute können für Zugriffsschnittstellen mithilfe der group Anweisung angegeben werden:
Angabe, dass die Schnittstelle eine statische IP-MAC-Adresse hat (
static-ip or static-ipv6)Angeben einer Zugriffsschnittstelle als vertrauenswürdige Schnittstelle für einen DHCP-Server (
trusted)Angeben einer Schnittstelle, die keine DHCP-Option 82 (
no-option82) oder DHCPv6-Optionen (no-option37) übertragen soll
Trunk-Schnittstellen werden standardmäßig vertrauenswürdig. Sie können dieses Standardverhalten jedoch überschreiben und eine Trunkschnittstelle als untrustedfestlegen.
Weitere Informationen finden Sie unter:
Sie können die allgemeinen Portsicherheitseinstellungen für das VLAN überschreiben, indem Sie eine Gruppe von Zugriffsschnittstellen innerhalb dieses VLAN konfigurieren. Weitere Informationen finden Sie unter:
Siehe auch
Konfigurieren von Portsicherheit (nicht-ELS)
Ethernet-LANs sind anfällig für Angriffe wie Address Spoofing und Layer 2 Denial of Service (DoS) auf Netzwerkgeräten. Portsicherheitsfunktionen wie DHCP-Snooping, DAI (dynamic ARP Inspection), MAC-Begrenzung, MAC Move Limiting und persistentes MAC-Lernen sowie vertrauenswürdiger DHCP-Server schützen die Zugriffsports auf dem Switch vor Informationsverlust und Produktivitätsverlust, den solche Angriffe verursachen können.
Abhängig von der jeweiligen Funktion können Sie die Portsicherheitsfunktion entweder auf:
VLANs – Ein bestimmtes VLAN oder alle VLANs
Schnittstellen – Eine bestimmte Schnittstelle oder alle Schnittstellen
Wenn Sie eine der Portsicherheitsfunktionen auf allen VLANs oder allen Schnittstellen konfigurieren, aktiviert die Switch-Software diese Portsicherheitsfunktion auf allen VLANs und allen Schnittstellen, die nicht explizit mit anderen Portsicherheitsfunktionen konfiguriert sind.
Wenn Sie jedoch eine der Portsicherheitsfunktionen in einem bestimmten VLAN oder auf einer bestimmten Schnittstelle explizit konfigurieren, müssen Sie zusätzliche Portsicherheitsfunktionen explizit konfigurieren, die auf dieses VLAN oder die Schnittstelle angewendet werden sollen. Andernfalls wendet die Switch-Software automatisch die Standardwerte für die Funktion an.
Wenn Sie beispielsweise DHCP-Snooping auf allen VLANs deaktivieren und entscheiden, IP-Source Guard nur in einem bestimmten VLAN explizit zu aktivieren, müssen Sie auch dhcp-Snooping auf diesem spezifischen VLAN explizit aktivieren. Andernfalls gilt der Standardwert kein DHCP-Snooping für dieses VLAN.
So konfigurieren Sie Portsicherheitsfunktionen mithilfe der CLI:
- Aktivieren von DHCP-Snooping
- Aktivierung von Dynamic ARP Inspection (DAI)
- Aktivierung der IPv6 Neighbor Discovery Inspection
- Begrenzen dynamischer MAC-Adressen an einer Schnittstelle
- Aktivieren des persistenten MAC-Lernens an einer Schnittstelle
- Begrenzung der MAC-Adressbewegung
- Einschränken einer VoIP-Client-MAC-Adresse in einem VoIP-VLAN
- Konfigurieren von vertrauenswürdigen DHCP-Servern an einer Schnittstelle
Aktivieren von DHCP-Snooping
Sie können DHCP-Snooping so konfigurieren, dass das Gerät die empfangenen DHCP-Nachrichten überwachen kann, sicherstellen, dass Hosts nur die IP-Adressen verwenden, die ihnen zugewiesen sind, und zugriffsberechtigten autorisierten DHCP-Servern.
So aktivieren Sie DHCP-Snooping:
Auf einem bestimmten VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
Auf allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
So aktivieren Sie DHCPv6-Snooping:
Auf einem bestimmten VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
Auf allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
Aktivierung von Dynamic ARP Inspection (DAI)
Sie können DAI zum Schutz vor ARP-Snooping aktivieren. So aktivieren Sie DAI:
Auf einem einzigen VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
Auf allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
Aktivierung der IPv6 Neighbor Discovery Inspection
Sie können Neighbor Discovery Inspection zum Schutz vor IPv6-Adress-Spoofing aktivieren.
So aktivieren Sie die Neighbor Discovery in einem einzigen VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
So aktivieren Sie die Neighbor Discovery auf allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
Begrenzen dynamischer MAC-Adressen an einer Schnittstelle
Begrenzen Sie die Anzahl der an einer Schnittstelle zulässigen dynamischen MAC-Adressen, und geben Sie die Aktion an, die ausgeführt werden soll, wenn die Obergrenze überschritten wird:
Auf einer einzigen Schnittstelle:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
An allen Schnittstellen:
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
Aktivieren des persistenten MAC-Lernens an einer Schnittstelle
Sie können gelernte MAC-Adressen so konfigurieren, dass sie bei Neustarts des Switches auf einer Schnittstelle beibehalten werden:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
Begrenzung der MAC-Adressbewegung
Sie können die Anzahl der Verschiebungen einer MAC-Adresse von ihrer ursprünglichen Schnittstelle in 1 Sekunde begrenzen:
Auf einem einzigen VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
Auf allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
Einschränken einer VoIP-Client-MAC-Adresse in einem VoIP-VLAN
So beschränken Sie das Erlernen einer VoIP-Client-MAC-Adresse in einem konfigurierten VoIP-VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
Jede an dieser Schnittstelle für das VoIP-VLAN erlernte MAC-Adresse wird nicht in einem Daten-VLAN mit derselben Schnittstelle gelernt. Wenn auf einer Daten-VLAN-Schnittstelle eine MAC-Adresse gelernt wurde und dann die MAC-Adresse in einem VoIP-VLAN mit der gleichen Schnittstelle erlernt wird, wird die MAC-Adresse von der Daten-VLAN-Schnittstelle entfernt.
Konfigurieren von vertrauenswürdigen DHCP-Servern an einer Schnittstelle
Konfigurieren Sie einen vertrauenswürdigen DHCP-Server auf einer Schnittstelle:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
Beispiel: Konfigurieren von Portsicherheit (nicht-ELS)
Sie können DHCP-Snooping, dynamic ARP Inspection (DAI), MAC-Begrenzung, persistentes MAC-Lernen und MAC Move Limiting auf den nicht vertrauenswürdigen Switches-Ports konfigurieren, um die Switches und das Ethernet LAN vor Address Spoofing und Layer 2-Denial-of-Service-Angriffen (DoS) zu schützen. Sie können auch einen vertrauenswürdigen DHCP-Server und bestimmte (zulässige) MAC-Adressen für die Switch-Schnittstellen konfigurieren.
Die in diesem Beispiel verwendeten Switches unterstützen den ELS-Konfigurationsstil nicht. Informationen zur Konfiguration der Portsicherheit auf ELS-Switches finden Sie unter Konfigurieren von Portsicherheit (ELS).
In diesem Beispiel wird beschrieben, wie grundlegende Portsicherheitsfunktionen auf einem Switch konfiguriert werden:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine EX-Serie oder QFX-Serie.
Junos OS Version 11.4 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die QFX-Serie
Ein DHCP-Server zur Bereitstellung von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie grundlegende Portsicherheitsfunktionen konfigurieren, müssen Sie Folgendes beachten:
Den DHCP-Server mit dem Switch verbunden.
Konfiguration eines VLANs auf dem Switch. Sehen Sie sich die Aufgabe für Ihre Plattform an:
In diesem Beispiel sind der DHCP-Server und seine Clients alle Mitglieder eines einzelnen VLANs auf dem Switch.
Überblick und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. Um die Geräte vor solchen Angriffen zu schützen, können Sie Folgendes konfigurieren:
DHCP-Snooping zur Validierung von DHCP-Servermeldungen
DAI zum Schutz vor MAC-Spoofing
MAC-Begrenzung zur Beschränkung der Anzahl der MAC-Adressen, die der Switch dem MAC-Adresscache hinzufügt
MAC Move Limiting zur Vermeidung von MAC-Spoofing
Persistent MAC Learning (Sticky MAC), um die MAC-Adressen, die auf einer Schnittstelle gelernt werden können, auf die ersten zu beschränken, auch nach einem Neustart des Switch
Vertrauenswürdiger DHCP-Server, der auf einem vertrauenswürdigen Port konfiguriert ist, um vor rogueen DHCP-Servern zu schützen, die Leases senden
Dieses Beispiel zeigt, wie Sie diese Sicherheitsfunktionen auf einem Switch konfigurieren, der mit einem DHCP-Server verbunden ist.
Die Einrichtung für dieses Beispiel umfasst das VLAN Mitarbeiter-VLAN auf dem Switch. Abbildung 1 zeigt die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschafteneinstellungen | |
|---|---|
Switch-Hardware |
Ein Switch der EX- oder QFX-Serie |
VLAN-Name und -ID |
Mitarbeiter-VLAN, Tag 20 |
VLAN-Subnetze |
192.0.2.16/28 192.0.2.17 bis 192.0.2.30 192.0.2.31 ist die Broadcast-Adresse des Subnetzes |
Schnittstellen im Mitarbeiter-VLAN |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Schnittstelle für DHCP-Server |
ge-0/0/8 |
In diesem Beispiel wird der Switch zunächst mit der Standard-Portsicherheitseinrichtung konfiguriert. In der Standard-Switch-Konfiguration:
Der sichere Portzugriff ist auf dem Switch aktiviert.
DHCP-Snooping und DAI sind in allen VLANs deaktiviert.
Alle Zugriffsports sind nicht vertrauenswürdig, und alle Trunk-Ports werden für DHCP-Snooping vertrauenswürdig.
In den Konfigurationsaufgaben für dieses Beispiel legen Sie den DHCP-Server als vertrauenswürdig fest; aktivieren Sie DHCP-Snooping, DAI und MAC-Move-Begrenzung auf einem VLAN; legen Sie an einigen Schnittstellen einen Wert für ein MAC-Limit fest; sie bestimmte (zulässige) MAC-Adressen auf einer Schnittstelle konfigurieren; und sie konfigurieren persistentes MAC-Lernen auf einer Schnittstelle.
Konfiguration
So konfigurieren Sie grundlegende Portsicherheit auf einem Switch, dessen DHCP-Server und Client-Ports sich in einem einzigen VLAN befinden:
Verfahren
CLI-Schnellkonfiguration
Um die grundlegende Portsicherheit auf dem Switch schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Switch-Terminal-Fenster ein:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
Schritt-für-Schritt-Verfahren
Konfiguration der grundlegenden Portsicherheit auf dem Switch:
Aktivieren Sie DHCP-Snooping im VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
Geben Sie die Schnittstelle (Port) an, von der aus DHCP-Antworten zulässig sind:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
Dynamische ARP-Prüfung (DAI) im VLAN aktivieren:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Konfigurieren Sie ein MAC-Limit von 4 , und verwenden Sie die Standardaktion , drop. (Pakete werden abgebrochen und die MAC-Adresse wird nicht zur Ethernet-Switching-Tabelle hinzugefügt, wenn das MAC-Limit an den Schnittstellen überschritten wird):
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
Ermöglicht es erlernten MAC-Adressen für eine bestimmte Schnittstelle, über Neustarts des Switches und Schnittstellen-Down-Ereignisse zu bestehen, indem persistentes MAC-Lernen aktiviert wird:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
Konfigurieren Sie ein MAC-Move-Limit von 5 , und verwenden Sie die Standardaktion , drop. (Pakete werden abgebrochen und die MAC-Adresse wird der Ethernet-Switching-Tabelle nicht hinzugefügt, wenn eine MAC-Adresse die MAC-Move-Grenze überschritten hat):
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
Konfiguration zulässiger MAC-Adressen:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
Überprüfung
So bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen der ordnungsgemäßen Funktionsweise von DHCP-Snooping auf dem Switch
- Überprüfen der ordnungsgemäßen Arbeit von DAI auf dem Switch
- Überprüfen, ob MAC-Begrenzung, MAC Move Limiting und Persistent MAC Learning auf dem Switch korrekt funktionieren
- Überprüfen der korrekten Funktionsweise zulässiger MAC-Adressen auf dem Switch
Überprüfen der ordnungsgemäßen Funktionsweise von DHCP-Snooping auf dem Switch
Zweck
Überprüfen Sie, ob DHCP-Snooping auf dem Switch funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind es DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn die Schnittstelle, über die sich der DHCP-Server mit dem Switch verbindet, vertrauenswürdig ist. Die folgenden Ausgabeergebnisse ergeben sich, wenn Anfragen von den MAC-Adressen gesendet werden und der Server die IP-Adressen zur Verfügung gestellt hat und leaset:
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
Bedeutung
Wenn die Schnittstelle, über die sich der DHCP-Server mit dem Switch verbindet, auf vertrauenswürdig festgelegt wurde, zeigt die Ausgabe (siehe vorheriges Beispiel) für jede MAC-Adresse die zugewiesene IP-Adresse und Leasingzeit an, d. h. die Zeit, die in Sekunden verbleibt, bevor der Leasing abläuft.
Wenn der DHCP-Server als nicht vertrauenswürdig konfiguriert wurde, werden der DHCP-Snooping-Datenbank keine Einträge hinzugefügt, und in der Ausgabe des show dhcp snooping binding Befehls wird nichts angezeigt.
Überprüfen der ordnungsgemäßen Arbeit von DAI auf dem Switch
Zweck
Vergewissern Sie sich, dass DAI auf dem Switch arbeitet.
Aktion
Senden Sie einige ARP-Anforderungen von Netzwerkgeräten, die mit dem Switch verbunden sind.
DAI-Informationen anzeigen:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Bedeutung
Die Beispielausgabe zeigt die Anzahl der ARP-Pakete, die pro Schnittstelle empfangen und geprüft wurden, wobei angegeben wird, wie viele Pakete weitergeleitet wurden und wie viele die Prüfung an jeder Schnittstelle fehlgeschlagen sind. Der Switch vergleicht die ARP-Anfragen und antwortet mit den Einträgen in der DHCP-Snooping-Datenbank. Wenn eine MAC-Adresse oder IP-Adresse im ARP-Paket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmt, wird das Paket abgebrochen.
Überprüfen, ob MAC-Begrenzung, MAC Move Limiting und Persistent MAC Learning auf dem Switch korrekt funktionieren
Zweck
Überprüfen Sie, ob MAC-Begrenzung, MAC-Move-Begrenzung und persistentes MAC-Lernen auf dem Switch funktionieren.
Aktion
Nehmen wir an, dass zwei Pakete von Hosts auf ge-0/0/1 und fünf Pakete von Hosts auf ge-0/0/2 gesendet wurden, wobei beide Schnittstellen auf ein MAC-Limit von 4 mit dem Standard-Action-Drop und ge-0/0/1 für persistentes MAC-Lernen eingestellt sind.
Anzeige der erlernten MAC-Adressen:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Nehmen wir jetzt an, dass Pakete von zwei hosts auf ge-0/0/2 gesendet wurden, nachdem sie in 1 Sekunde mehr als fünf Mal an andere Schnittstellen verschoben wurden, wobei employee-vlan mit dem Standard-Action-Drop auf einen MAC-Move-Limit von 5 festgelegt wurde.
Mac-Adressen in der Tabelle anzeigen:
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Bedeutung
Die erste Beispielausgabe zeigt, dass mit einem MAC-Limit von 4 für jede Schnittstelle die fünfte MAC-Adresse auf ge-0/0/2 nicht erlernt wurde, weil sie die MAC-Grenze überschritten hat. Die zweite Beispielausgabe zeigt, dass mac-Adressen für drei hosts auf ge-/0/0/2 nicht erlernt wurden, da die Hosts mehr als fünf Mal in 1 Sekunde zurück verschoben wurden.
Die Schnittstelle ge-0/0/1.0 wurde für persistentes MAC-Lernen aktiviert, sodass die mit dieser Schnittstelle verknüpften MAC-Adressen vom Typ persistent sind.
Überprüfen der korrekten Funktionsweise zulässiger MAC-Adressen auf dem Switch
Zweck
Überprüfen Sie, ob die zulässigen MAC-Adressen auf dem Switch funktionieren.
Aktion
Zeigen Sie die MAC-Cache-Informationen an, nachdem fünf zulässige MAC-Adressen auf der Schnittstelle ge-0/0/2 konfiguriert wurden:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Bedeutung
Da der MAC-Grenzwert für diese Schnittstelle auf 4 festgelegt wurde, werden nur vier der fünf konfigurierten zulässigen Adressen erlernt.