Überblick über die Hafensicherheit
Port-Sicherheitsfunktionen
Ethernet-LANs sind anfällig für Angriffe wie Adress-Spoofing (Forging) und Layer 2 Denial of Service (DoS) auf Netzwerkgeräte. Portsicherheitsfunktionen tragen dazu bei, die Zugriffsports auf Ihrem Gerät vor dem Informations- und Produktivitätsverlust zu schützen, den solche Angriffe verursachen können.
Die Härtung von Junos OS erfolgt durch die Trennung von Steuerungsweiterleitungs- und Serviceebenen, wobei jede Funktion im geschützten Speicher ausgeführt wird. Die CPU der Steuerungsebene ist durch Ratenbegrenzung, Routing-Richtlinie und Firewall-Filter geschützt, um die Verfügbarkeit des Switches auch bei schweren Angriffen zu gewährleisten.
Junos OS bietet Funktionen zum Sichern von Ports auf einem Gerät. Ports können entweder als vertrauenswürdig oder nicht vertrauenswürdig kategorisiert werden. Sie wenden Richtlinien an, die für jede Kategorie geeignet sind, um Ports vor verschiedenen Arten von Angriffen zu schützen.
Sicherheitsfunktionen für Zugriffsports wie dynamische ARP-Prüfung (Address Resolution Protocol), DHCP-Snooping und MAC-Begrenzung werden über einen einzigen Junos OS CLI-Befehl gesteuert. Grundlegende Portsicherheitsfunktionen sind in der Standardkonfiguration des Geräts aktiviert. Sie können zusätzliche Funktionen mit minimalen Konfigurationsschritten konfigurieren. Je nach Funktion können Sie die Funktion entweder in VLANs oder Bridge-Domain-Schnittstellen konfigurieren.
Ab Junos OS Version 18.4R1 erfolgt DHCP-Snooping auf vertrauenswürdigen Ports für die folgenden Switches der Juniper-Serie: EX2300, EX4600 und QFX5K. Vor Junos OS Version 18.4R1 galt dies für diese Geräte nur für DHCPv6-Snooping. Darüber hinaus tritt DHCP-Snooping auf vertrauenswürdigen Ports für Switches der EX9200-Serie und Fusion Enterprises auf, auf denen Junos OS Version 19.1R1 und höher ausgeführt wird.
Die Ethernet-Switches der EX-Serie von Juniper Networks bieten die folgenden Hardware- und Software-Sicherheitsfunktionen:
Console Port—Ermöglicht die Verwendung des Konsolenports für die Verbindung mit der Routing-Engine über ein RJ-45-Kabel. Anschließend verwenden Sie die Befehlszeilenschnittstelle (CLI), um den Switch zu konfigurieren.
Out-of-Band Management—Ein dedizierter Management-Ethernet-Port auf der Rückseite ermöglicht Out-of-Band-Management.
Software Images—Alle Junos OS-Images sind von der Juniper Networks Zertifizierungsstelle (CA) mit Public Key Infrastructure (PKI) signiert.
User Authentication, Authorization, and Accounting (AAA)—Zu den Funktionen gehören:
Benutzer- und Gruppenkonten mit Kennwortverschlüsselung und Authentifizierung.
Zugriffsberechtigungsstufen konfigurierbar für Anmeldeklassen und Benutzervorlagen.
RADIUS-Authentifizierung, TACACS+-Authentifizierung oder beides zur Authentifizierung von Benutzern, die versuchen, auf den Switch zuzugreifen.
Auditierung von Konfigurationsänderungen durch Systemprotokollierung oder RADIUS/TACACS+.
802.1X Authentication: Bietet Netzwerkzugriffssteuerung. Supplicants (Hosts) werden authentifiziert, wenn sie sich zum ersten Mal mit einem LAN verbinden. Durch die Authentifizierung von Supplicants, bevor sie eine IP-Adresse von einem DHCP-Server erhalten, wird verhindert, dass nicht autorisierte Supplicants Zugriff auf das LAN erhalten. Switches der EX-Serie unterstützen EAP-Methoden (Extensible Authentication Protocol), einschließlich EAP-MD5, EAP-TLS, EAP-TTLS und EAP-PEAP.
Port Security—Sicherheitsfunktionen für Zugriffsports, die auf Switching-Geräten unterstützt werden:
DHCP-Snooping: Filtert und blockiert eingehende DHCP-Servernachrichten (Dynamic Host Configuration Protocol) auf nicht vertrauenswürdigen Ports und erstellt und verwaltet eine Datenbank mit DHCP-Lease-Informationen, die als DHCP-Snooping-Datenbank bezeichnet wird.
Anmerkung:DHCP-Snooping ist in der Standardkonfiguration des Switching-Geräts nicht aktiviert. DHCP-Snooping ist in einem VLAN oder einer Bridge-Domäne aktiviert. Die Details der Aktivierung von DHCP-Snooping hängen vom jeweiligen Gerät ab.
Vertrauenswürdiger DHCP-Server: Die Konfiguration des DHCP-Servers an einem vertrauenswürdigen Port schützt vor nicht autorisierten DHCP-Servern, die Leases senden. Sie aktivieren diese Funktion auf einer Schnittstelle (Port). Standardmäßig sind Zugriffsports nicht vertrauenswürdig, und Trunk-Ports sind vertrauenswürdig. (Zugriffsports sind die Switch-Ports, die eine Verbindung zu Ethernet-Endpunkten wie Benutzer-PCs und Laptops, Servern und Druckern herstellen. Trunk-Ports sind die Switch-Ports, die einen Ethernet-Switch mit anderen Switches oder Routern verbinden.)
DHCPv6-Snooping: DHCP-Snooping für IPv6.
DHCP-Option 82 - Wird auch als DHCP-Relay-Agent-Informationsoption bezeichnet. Diese DHCPv4-Funktion trägt dazu bei, das Switching-Gerät vor Angriffen wie Spoofing von IP- und MAC-Adressen und DHCP-IP-Adressmangel zu schützen. Option 82 stellt Informationen über den Netzwerkstandort eines DHCP-Clients bereit, und der DHCP-Server verwendet diese Informationen, um IP-Adressen oder andere Parameter für den Client zu implementieren.
DHCPv6-Option 37 - Option 37 ist die Remote-ID-Option für DHCPv6 und wird verwendet, um Informationen über den Netzwerkstandort des Remote-Hosts in DHCPv6-Pakete einzufügen. Sie aktivieren Option 37 in einem VLAN.
Anmerkung:DHCPv6-Snooping mit Option 37 wird von der MX-Serie nicht unterstützt.
DHCPv6 Option 18 - Option 18 ist die Circuit-ID-Option für DHCPv6 und wird verwendet, um Informationen über den Client-Port in DHCPv6-Pakete einzufügen. Diese Option enthält weitere Details, die optional konfiguriert werden können, wie z. B. das Präfix und die Schnittstellenbeschreibung.
DHCPv6-Option 16 - Option 16 ist die Hersteller-ID-Option für DHCPv6 und wird verwendet, um Informationen über den Hersteller der Client-Hardware in DHCPv6-Pakete einzufügen.
Dynamic ARP Inspection (DAI) – Verhindert ARP-Spoofing-Angriffe (Address Resolution Protocol). ARP-Anfragen und -Antworten werden mit Einträgen in der DHCP-Snooping-Datenbank verglichen, und Filterentscheidungen werden auf der Grundlage der Ergebnisse dieser Vergleiche getroffen. Sie aktivieren DAI in einem VLAN.
IPv6 Neighbor Discovery Inspection: Verhindert IPv6-Adressen-Spoofing-Angriffe. Neighbor Discovery-Anfragen und -Antworten werden mit Einträgen in der DHCPv6-Snooping-Datenbank verglichen, und Filterentscheidungen werden auf der Grundlage der Ergebnisse dieser Vergleiche getroffen. Sie aktivieren die Neighbor Discovery Inspection in einem VLAN.
IP Source Guard – Mildert die Auswirkungen von IP-Adressen-Spoofing-Angriffen auf das Ethernet-LAN. Wenn der IP-Quellschutz aktiviert ist, wird die Quell-IP-Adresse in dem Paket, das von einer nicht vertrauenswürdigen Zugriffsschnittstelle gesendet wird, anhand der DHCP-Snooping-Datenbank überprüft. Wenn das Paket nicht validiert werden kann, wird es verworfen. Sie aktivieren den IP-Quellschutz in einem VLAN oder einer Bridge-Domäne.
IPv6-Quellwächter: IP-Quellwächter für IPv6.
MAC-Begrenzung - Schützt vor Überflutung der Ethernet-Switching-Tabelle (auch als MAC-Weiterleitungstabelle oder Layer-2-Weiterleitungstabelle bezeichnet). Sie können die MAC-Begrenzung für eine Schnittstelle aktivieren.
MAC move limiting: Verfolgt MAC-Bewegungen und erkennt MAC-Spoofing auf Zugriffsports. Sie aktivieren diese Funktion in einem VLAN oder einer Bridge-Domäne.
Persistentes MAC-Lernen: Wird auch als Sticky MAC bezeichnet. Persistentes MAC-Lernen ermöglicht es Schnittstellen, dynamisch gelernte MAC-Adressen über Switch-Neustarts hinweg beizubehalten. Sie aktivieren diese Funktion auf einer Schnittstelle.
Uneingeschränktes Proxy-ARP: Der Switch antwortet auf alle ARP-Nachrichten mit seiner eigenen MAC-Adresse. Hosts, die mit den Schnittstellen des Switches verbunden sind, können nicht direkt mit anderen Hosts kommunizieren. Stattdessen läuft die gesamte Kommunikation zwischen Hosts über den Switch.
Restricted proxy ARP (Eingeschränktes Proxy-ARP): Der Switch reagiert nicht auf eine ARP-Anfrage, wenn die physischen Netzwerke der Quelle und des Ziels der ARP-Anforderung identisch sind. Dabei spielt es keine Rolle, ob der Zielhost die gleiche IP-Adresse wie die eingehende Schnittstelle oder eine andere (Remote-)IP-Adresse hat. Eine ARP-Anfrage nach einer Broadcast-Adresse führt zu keiner Antwort.
Device Security—Storm Control ermöglicht es dem Switch, unbekannten Unicast- und Broadcast-Datenverkehr zu überwachen und Pakete zu verwerfen oder die Schnittstelle herunterzufahren oder vorübergehend zu deaktivieren, wenn ein bestimmtes Datenverkehrsniveau überschritten wird, wodurch verhindert wird, dass sich Pakete ausbreiten und das LAN beeinträchtigen. Sie können die Sturmsteuerung auf Zugriffsschnittstellen oder Trunk-Schnittstellen aktivieren.
Encryption Standards—Zu den unterstützten Standards gehören:
128-, 192- und 256-Bit-AES (Advanced Encryption Standard)
56-Bit-Datenverschlüsselungsstandard (DES) und 168-Bit-3DES
Siehe auch
Verstehen, wie man Access Ports vor häufigen Angriffen schützt
Port-Sicherheitsfunktionen können die Juniper Networks EX-Serie und QFX10000 Ethernet-Switches vor verschiedenen Arten von Angriffen schützen. Einige gängige Schutzmethoden gegen einige gängige Angriffe sind:
- Abwehr von Ethernet-Switching-Tabellenüberlauf-Angriffen
- Abwehr von Angriffen auf nicht autorisierte DHCP-Server
- Schutz vor ARP-Spoofing-Angriffen (gilt nicht für Switches der QFX10000-Serie)
- Schutz vor DHCP-Snooping-Angriffen durch Datenbankänderungen (gilt nicht für Switches der QFX10000-Serie)
- Schutz vor DHCP-Starvation-Angriffen
Abwehr von Ethernet-Switching-Tabellenüberlauf-Angriffen
Bei einem Überlaufangriff auf die Ethernet-Switching-Tabelle sendet ein Eindringling so viele Anfragen von neuen MAC-Adressen, dass die Tabelle nicht alle Adressen lernen kann. Wenn der Switch die Informationen in der Tabelle nicht mehr zum Weiterleiten des Datenverkehrs verwenden kann, ist er gezwungen, Nachrichten zu senden. Der Datenverkehrsfluss auf dem Switch wird unterbrochen, und Pakete werden an alle Hosts im Netzwerk gesendet. Der Angreifer kann das Netzwerk nicht nur mit Datenverkehr überlasten, sondern auch diesen Broadcast-Datenverkehr ausspionieren.
Um solche Angriffe zu entschärfen, konfigurieren Sie sowohl ein MAC-Limit für gelernte MAC-Adressen als auch einige spezifisch zulässige MAC-Adressen. Verwenden Sie die MAC-Begrenzungsfunktion, um die Gesamtzahl der MAC-Adressen zu steuern, die der Ethernet-Switching-Tabelle für die angegebene(n) Schnittstelle(n) hinzugefügt werden können. Durch das Festlegen der explizit zulässigen MAC-Adressen stellen Sie sicher, dass die Adressen von Netzwerkgeräten, deren Netzwerkzugriff kritisch ist, garantiert in der Ethernet-Switching-Tabelle enthalten sind. Siehe Beispiel: Schutz vor Ethernet-Switching-Tabellenüberlauf-Angriffen.
Sie können gelernte MAC-Adressen auch so konfigurieren, dass sie auf jeder Schnittstelle bestehen bleiben. In Kombination mit einem konfigurierten MAC-Limit trägt dieses persistente MAC-Lernen dazu bei, Datenverkehrsverluste nach einem Neustart oder einem Schnittstellenausfall zu verhindern und erhöht außerdem die Portsicherheit, indem die auf der Schnittstelle zulässigen MAC-Adressen begrenzt werden.
Abwehr von Angriffen auf nicht autorisierte DHCP-Server
Wenn ein Angreifer einen nicht autorisierten DHCP-Server einrichtet, der sich als legitimer DHCP-Server im LAN ausgibt, kann der nicht autorisierte Server damit beginnen, Leases an die DHCP-Clients des Netzwerks auszustellen. Die Informationen, die den Clients von diesem nicht autorisierten Server zur Verfügung gestellt werden, können ihren Netzwerkzugriff unterbrechen und DoS verursachen. Der nicht autorisierte Server kann sich auch selbst als Standard-Gateway-Gerät für das Netzwerk zuweisen. Der Angreifer kann dann den Netzwerkverkehr ausspionieren und einen Man-in-the-Middle-Angriff durchführen, d. h., er leitet Datenverkehr, der für ein legitimes Netzwerkgerät bestimmt war, an ein Gerät seiner Wahl weiter.
Um einen nicht autorisierten DHCP-Serverangriff abzuwehren, legen Sie die Schnittstelle, mit der dieser nicht autorisierte Server verbunden ist, als nicht vertrauenswürdig fest. Dadurch werden alle eingehenden DHCP-Servernachrichten von dieser Schnittstelle blockiert. Siehe Beispiel: Schutz vor nicht autorisierten DHCP-Server-Angriffen.
Der Switch protokolliert alle DHCP-Serverpakete, die an nicht vertrauenswürdigen Ports empfangen werden, zum Beispiel:
5 nicht vertrauenswürdiges DHCP-Angebot empfangen, Schnittstelle GE-0/0/0.0[65], VLAN v1[10] Server IP/MAC 12.12.12.1/00:00:00:00:00:01:12 Angebot IP/Client MAC 12.12.12.253/00:AA:BB:CC:DD:01
Sie können diese Meldungen verwenden, um bösartige DHCP-Server im Netzwerk zu erkennen.
Wenn Sie bei Switches der QFX-Serie, einschließlich QFX10000, einen DHCP-Server an einen Zugriffsport anschließen, müssen Sie den Port als vertrauenswürdig konfigurieren.
Schutz vor ARP-Spoofing-Angriffen (gilt nicht für Switches der QFX10000-Serie)
Beim ARP-Spoofing sendet ein Angreifer gefälschte ARP-Nachrichten über das Netzwerk. Der Angreifer verknüpft seine eigene MAC-Adresse mit der IP-Adresse eines Netzwerkgeräts, das mit dem Switch verbunden ist. Jeglicher Datenverkehr, der an diese IP-Adresse gesendet wird, wird stattdessen an den Angreifer gesendet. Jetzt kann der Angreifer verschiedene Arten von Unfug anrichten, einschließlich des Ausspähens der Pakete, die für einen anderen Host bestimmt waren, und der Durchführung von Man-in-the-Middle-Angriffen. (Bei einem Man-in-the-Middle-Angriff fängt der Angreifer Nachrichten zwischen zwei Hosts ab, liest sie und ändert sie möglicherweise, ohne dass die ursprünglichen Hosts wissen, dass ihre Kommunikation kompromittiert wurde.)
Um sich vor ARP-Spoofing auf Ihrem Switch zu schützen, aktivieren Sie sowohl DHCP-Snooping als auch dynamische ARP-Inspektion (DAI). DHCP-Snooping erstellt und verwaltet die DHCP-Snooping-Tabelle. Diese Tabelle enthält die MAC-Adressen, IP-Adressen, Lease-Zeiten, Bindungstypen, VLAN-Informationen und Schnittstelleninformationen für die nicht vertrauenswürdigen Schnittstellen auf dem Switch. DAI verwendet die Informationen in der DHCP-Snooping-Tabelle, um ARP-Pakete zu validieren. Ungültige ARP-Pakete werden blockiert, und wenn sie blockiert werden, wird eine Systemprotokollmeldung aufgezeichnet, die den Typ des ARP-Pakets sowie die IP-Adresse und MAC-Adresse des Absenders enthält.
Schutz vor DHCP-Snooping-Angriffen durch Datenbankänderungen (gilt nicht für Switches der QFX10000-Serie)
Bei einem Angriff, der darauf abzielt, die DHCP-Snooping-Datenbank zu verändern, schleust ein Eindringling einen DHCP-Client auf einer der nicht vertrauenswürdigen Zugriffsschnittstellen des Switches ein, dessen MAC-Adresse mit der eines Clients an einem anderen nicht vertrauenswürdigen Port identisch ist. Der Eindringling erwirbt die DHCP-Lease, was zu Änderungen an den Einträgen in der DHCP-Snooping-Tabelle führt. Anschließend werden gültige ARP-Anfragen des legitimen Clients blockiert.
Konfigurieren Sie zum Schutz vor dieser Art der Änderung der DHCP-Snooping-Datenbank MAC-Adressen, die auf der Schnittstelle explizit zulässig sind. Siehe Beispiel: Schutz vor DHCP-Snooping-Datenbankangriffen.
Schutz vor DHCP-Starvation-Angriffen
Bei einem DHCP-Hungerangriff überflutet ein Angreifer ein Ethernet-LAN mit DHCP-Anfragen von gefälschten (gefälschten) MAC-Adressen, sodass die vertrauenswürdigen DHCP-Server des Switches nicht mit den Anforderungen von legitimen DHCP-Clients auf dem Switch Schritt halten können. Der Adressraum dieser Server ist vollständig aufgebraucht, sodass sie Clients keine IP-Adressen und Lease-Zeiten mehr zuweisen können. DHCP-Anfragen von diesen Clients werden entweder verworfen – d. h. das Ergebnis ist ein Denial of Service (DoS) – oder an einen nicht autorisierten DHCP-Server weitergeleitet, der vom Angreifer eingerichtet wurde, um sich als legitimer DHCP-Server im LAN auszugeben.
Um den Switch vor DHCP-Starvation-Angriffen zu schützen, verwenden Sie die MAC-Begrenzungsfunktion. Geben Sie die maximale Anzahl von MAC-Adressen an, die der Switch auf den Zugriffsschnittstellen lernen kann, mit denen diese Clients eine Verbindung herstellen. Der DHCP-Server oder die DHCP-Server des Switches können dann die angegebene Anzahl von IP-Adressen und Leases für diese Clients bereitstellen und nicht mehr. Wenn ein DHCP-Starvation-Angriff erfolgt, nachdem die maximale Anzahl von IP-Adressen zugewiesen wurde, schlägt der Angriff fehl. Siehe Beispiel: Schutz vor DHCP-Starvation-Angriffen.
Für zusätzlichen Schutz auf Switches der EX-Serie können Sie gelernte MAC-Adressen auf jeder Schnittstelle so konfigurieren, dass sie über Neustarts des Switches hinweg bestehen bleiben, indem Sie persistentes MAC-Lernen aktivieren. Dieses persistente MAC-Lernen trägt sowohl dazu bei, Datenverkehrsverluste nach einem Neustart zu verhindern, als auch sicherzustellen, dass auch nach einem Neustart oder einem Schnittstellenausfall die persistenten MAC-Adressen erneut in die Weiterleitungsdatenbank eingegeben werden, anstatt dass der Switch neue MAC-Adressen lernt.
Siehe auch
Konfigurieren der Portsicherheit (ELS)
Die beschriebenen Funktionen werden von Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) unterstützt. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Konfigurieren der Portsicherheit (Nicht-ELS). Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Ethernet-LANs sind anfällig für Angriffe wie Adress-Spoofing und Layer 2 Denial of Service (DoS) auf Netzwerkgeräte. Die Sicherheitsfunktionen für DHCP-Ports tragen dazu bei, die Zugriffsports des Switches vor Informations- und Produktivitätsverlusten zu schützen, die durch solche Angriffe entstehen können.
Die folgenden Portsicherheitsfunktionen werden für DHCPv4 unterstützt:
DHCP-Snooping
Dynamische ARP-Inspektion (DAI)
IP-Quellschutz
DHCP-Option 82
Die folgenden Portsicherheitsfunktionen werden für DHCPv6 unterstützt:
DHCPv6-Snooping
Überprüfung der IPv6 Neighbor Discovery
IPv6-Quellschutz
DHCPv6 Option 37, Option 18 und Option 16
DHCP-Snooping und DHCPv6-Snooping sind in jedem VLAN standardmäßig deaktiviert. Es wird keine explizite CLI-Konfiguration verwendet, um DHCP-Snooping oder DHCPv6-Snooping zu aktivieren. Wenn Sie eine der Portsicherheitsfunktionen für ein VLAN auf Hierarchieebene [edit vlans vlan-name forwarding-options dhcp-security] konfigurieren, werden DHCP-Snooping und DHCPv6-Snooping automatisch in diesem VLAN aktiviert.
Ab Junos OS Version 14.1X53-D47 und 15.1R6 können Sie DHCP-Snooping oder DHCPv6-Snooping in einem VLAN aktivieren, ohne andere Portsicherheitsfunktionen zu konfigurieren, indem Sie die dhcp-security CLI-Anweisung auf der Hierarchieebene [edit vlans vlan-name forwarding-options] konfigurieren.
DAI, IPv6 Neighbor Discovery Inspection, IP-Quellwächter, IPv6-Quellwächter, DHCP-Option 82 und DHCPv6-Optionen werden pro VLAN konfiguriert. Sie müssen ein VLAN konfigurieren, bevor Sie diese DHCP-Port-Sicherheitsfunktionen konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie mit ELS-Unterstützung (CLI-Verfahren).
Die DHCP-Port-Sicherheitsfunktionen, die Sie für das VLAN angeben, gelten für alle Schnittstellen, die in diesem VLAN enthalten sind. Sie können jedoch einer Zugriffsschnittstelle oder einer Gruppe von Zugriffsschnittstellen innerhalb des VLANs unterschiedliche Attribute zuweisen. Die Zugriffsschnittstelle(n) müssen zunächst mit der group Anweisung auf Hierarchieebene [edit vlans vlan-name forwarding-options dhcp-security] als Gruppe konfiguriert werden. Eine Gruppe muss über mindestens eine Schnittstelle verfügen.
Wenn Sie eine Gruppe von Zugriffsschnittstellen in einem VLAN auf Hierarchieebene [edit vlans vlan-name forwarding-options dhcp-security] konfigurieren, wird DHCP-Snooping für alle Schnittstellen im VLAN automatisch aktiviert.
Attribute, die mit der group Anweisung für Zugriffsschnittstellen angegeben werden können, sind:
Angeben, dass die Schnittstelle eine statische IP-MAC-Adresse hat (
static-ip or static-ipv6)Angeben einer Zugriffsschnittstelle, die als vertrauenswürdige Schnittstelle für einen DHCP-Server fungieren soll (
trusted)Festlegen einer Schnittstelle, die DHCP-Option 82 (
no-option82) oder DHCPv6-Option (no-option37) nicht übertragen soll
Trunk-Schnittstellen sind standardmäßig vertrauenswürdig. Sie können dieses Standardverhalten jedoch außer Kraft setzen und eine Trunkschnittstelle als untrusted.
Weitere Informationen finden Sie unter:
Sie können die allgemeinen Portsicherheitseinstellungen für das VLAN außer Kraft setzen, indem Sie eine Gruppe von Zugriffsschnittstellen innerhalb dieses VLANs konfigurieren. Weitere Informationen finden Sie unter:
Siehe auch
Konfigurieren der Portsicherheit (Nicht-ELS)
Ethernet-LANs sind anfällig für Angriffe wie Adress-Spoofing und Layer 2 Denial of Service (DoS) auf Netzwerkgeräte. Portsicherheitsfunktionen wie DHCP-Snooping, DAI (dynamische ARP-Inspektion), MAC-Begrenzung, MAC-Verschiebungsbegrenzung und persistentes MAC-Lernen sowie ein vertrauenswürdiger DHCP-Server tragen dazu bei, die Zugriffsports auf dem Switch vor Informations- und Produktivitätsverlusten zu schützen, die durch solche Angriffe verursacht werden können.
Abhängig von der jeweiligen Funktion können Sie die Portsicherheitsfunktion wie folgt konfigurieren:
VLANs - Ein bestimmtes VLAN oder alle VLANs
Schnittstellen: Eine bestimmte Schnittstelle oder alle Schnittstellen
Wenn Sie eine der Port-Sicherheitsfunktionen in allen VLANs oder allen Schnittstellen konfigurieren, aktiviert die Switch-Software diese Port-Sicherheitsfunktion für alle VLANs und alle Schnittstellen, die nicht explizit mit anderen Port-Sicherheitsfunktionen konfiguriert sind.
Wenn Sie jedoch explizit eine der Portsicherheitsfunktionen in einem bestimmten VLAN oder auf einer bestimmten Schnittstelle konfigurieren, müssen Sie explizit alle zusätzlichen Portsicherheitsfunktionen konfigurieren, die Sie auf dieses VLAN oder diese Schnittstelle anwenden möchten. Andernfalls wendet die Switch-Software automatisch die Standardwerte für das Feature an.
Wenn Sie beispielsweise DHCP-Snooping in allen VLANs deaktivieren und den IP-Quellschutz explizit nur für ein bestimmtes VLAN aktivieren, müssen Sie DHCP-Snooping auch explizit für dieses spezifische VLAN aktivieren. Andernfalls gilt der Standardwert "Kein DHCP-Snooping" für dieses VLAN.
So konfigurieren Sie Portsicherheitsfunktionen mithilfe der CLI:
- Aktivieren von DHCP-Snooping
- Aktivieren der dynamischen ARP-Inspektion (DAI)
- Aktivieren der IPv6 Neighbor Discovery Inspection
- Begrenzen dynamischer MAC-Adressen auf einer Schnittstelle
- Aktivieren von persistentem MAC-Lernen auf einer Schnittstelle
- Begrenzung der MAC-Adressverschiebung
- Einschränken der MAC-Adresse eines VoIP-Clients in einem VoIP-VLAN
- Konfigurieren von vertrauenswürdigen DHCP-Servern auf einer Schnittstelle
Aktivieren von DHCP-Snooping
Sie können DHCP-Snooping konfigurieren, damit das Gerät empfangene DHCP-Nachrichten überwachen kann, dass Hosts nur die IP-Adressen verwenden, die ihnen zugewiesen sind, und den Zugriff nur autorisierten DHCP-Servern erlaubt.
So aktivieren Sie DHCP-Snooping:
In einem bestimmten VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
In allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
So aktivieren Sie DHCPv6-Snooping:
In einem bestimmten VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
In allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
Aktivieren der dynamischen ARP-Inspektion (DAI)
Sie können DAI aktivieren, um vor ARP-Snooping zu schützen. So aktivieren Sie DAI:
In einem einzelnen VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
In allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
Aktivieren der IPv6 Neighbor Discovery Inspection
Sie können die Neighbor Discovery-Überprüfung aktivieren, um sich vor IPv6-Adressen-Spoofing zu schützen.
So aktivieren Sie die Nachbarerkennung in einem einzelnen VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
So aktivieren Sie die Nachbarschaftserkennung in allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
Begrenzen dynamischer MAC-Adressen auf einer Schnittstelle
Begrenzen Sie die Anzahl der dynamischen MAC-Adressen, die auf einer Schnittstelle zulässig sind, und geben Sie die Aktion an, die ausgeführt werden soll, wenn der Grenzwert überschritten wird:
Auf einer einzigen Schnittstelle:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
Auf allen Schnittstellen:
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
Aktivieren von persistentem MAC-Lernen auf einer Schnittstelle
Sie können gelernte MAC-Adressen so konfigurieren, dass sie bei Neustarts des Switches auf einer Schnittstelle bestehen bleiben:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
Begrenzung der MAC-Adressverschiebung
Sie können begrenzen, wie oft eine MAC-Adresse innerhalb von 1 Sekunde von ihrer ursprünglichen Schnittstelle verschoben werden kann:
In einem einzelnen VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
In allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
Einschränken der MAC-Adresse eines VoIP-Clients in einem VoIP-VLAN
So verhindern Sie, dass die MAC-Adresse eines VoIP-Clients in einem konfigurierten VoIP-VLAN gelernt wird:
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
Jede MAC-Adresse, die auf dieser Schnittstelle für das VoIP-VLAN gelernt wird, wird in einem Daten-VLAN mit derselben Schnittstelle nicht gelernt. Wenn eine MAC-Adresse auf einer Daten-VLAN-Schnittstelle gelernt wurde und dann die MAC-Adresse in einem VoIP-VLAN mit derselben Schnittstelle gelernt wird, wird die MAC-Adresse aus der Daten-VLAN-Schnittstelle entfernt.
Konfigurieren von vertrauenswürdigen DHCP-Servern auf einer Schnittstelle
Konfigurieren Sie einen vertrauenswürdigen DHCP-Server auf einer Schnittstelle:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
Beispiel: Konfigurieren der Portsicherheit (Nicht-ELS)
Sie können DHCP-Snooping, dynamische ARP-Inspektion (DAI), MAC-Begrenzung, persistentes MAC-Lernen und MAC-Verschiebungsbeschränkung für die nicht vertrauenswürdigen Ports von Switches konfigurieren, um die Switches und das Ethernet-LAN vor Adress-Spoofing und Layer-2-Denial-of-Service-Angriffen (DoS) zu schützen. Sie können auch einen vertrauenswürdigen DHCP-Server und bestimmte (zulässige) MAC-Adressen für die Switch-Schnittstellen konfigurieren.
Die in diesem Beispiel verwendeten Switches unterstützen den ELS-Konfigurationsstil nicht. Informationen zur Konfiguration der Portsicherheit auf ELS-Switches finden Sie unter Konfigurieren der Portsicherheit (ELS).
In diesem Beispiel wird beschrieben, wie grundlegende Portsicherheitsfunktionen auf einem Switch konfiguriert werden:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
eine EX-Serie oder QFX-Serie.
Junos OS Version 11.4 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die QFX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie grundlegende Portsicherheitsfunktionen konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
Es wurde ein VLAN auf dem Switch konfiguriert. Sehen Sie sich die Aufgabe für Ihre Plattform an:
In diesem Beispiel sind der DHCP-Server und seine Clients alle Mitglieder eines einzelnen VLANs auf dem Switch.
Übersicht und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. Um die Geräte vor solchen Angriffen zu schützen, können Sie Folgendes konfigurieren:
DHCP-Snooping zur Validierung von DHCP-Servernachrichten
DAI zum Schutz vor MAC-Spoofing
MAC-Begrenzung, um die Anzahl der MAC-Adressen einzuschränken, die der Switch seinem MAC-Adress-Cache hinzufügt
MAC-Verschiebungsbegrenzung zur Verhinderung von MAC-Spoofing
Persistentes MAC-Lernen (Sticky MAC), um die MAC-Adressen, die auf einer Schnittstelle gelernt werden können, auf die zuerst gelernten zu beschränken, auch nach einem Neustart des Switches
Vertrauenswürdiger DHCP-Server, der auf einem vertrauenswürdigen Port konfiguriert ist, um vor nicht autorisierten DHCP-Servern zu schützen, die Leases senden
In diesem Beispiel wird gezeigt, wie diese Sicherheitsfunktionen auf einem Switch konfiguriert werden, der mit einem DHCP-Server verbunden ist.
Die Einrichtung für dieses Beispiel umfasst das VLAN employee-vlan auf dem Switch. Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein Switch der EX- oder QFX-Serie |
VLAN-Name und -ID |
Mitarbeiter-VLAN, Tag 20 |
VLAN-Subnetze |
192.0.2.16/28 192.0.2.17 bis 192.0.2.30 192.0.2.31 ist die Broadcast-Adresse des Subnetzes |
Schnittstellen im Mitarbeiter-VLAN |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
In diesem Beispiel wird der Switch zunächst mit der standardmäßigen Portsicherheitseinrichtung konfiguriert. In der Standard-Switch-Konfiguration:
Der sichere Portzugriff ist auf dem Switch aktiviert.
DHCP-Snooping und DAI sind in allen VLANs deaktiviert.
Alle Zugriffsports sind nicht vertrauenswürdig, und alle Trunk-Ports sind für DHCP-Snooping vertrauenswürdig.
In den Konfigurationsaufgaben für dieses Beispiel legen Sie den DHCP-Server als vertrauenswürdig fest. Sie aktivieren DHCP-Snooping, DAI und MAC-Verschiebungsbegrenzung in einem VLAN; Sie legen einen Wert für ein MAC-Limit für einige Schnittstellen fest. Sie konfigurieren bestimmte (zulässige) MAC-Adressen auf einer Schnittstelle. und Sie konfigurieren persistentes MAC-Lernen auf einer Schnittstelle.
Konfiguration
So konfigurieren Sie die grundlegende Portsicherheit auf einem Switch, dessen DHCP-Server- und Client-Ports sich in einem einzigen VLAN befinden:
Verfahren
CLI-Schnellkonfiguration
Um schnell die grundlegende Portsicherheit auf dem Switch zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die grundlegende Portsicherheit auf dem Switch:
DHCP-Snooping im VLAN aktivieren:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
Geben Sie die Schnittstelle (Port) an, von der DHCP-Antworten zulässig sind:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
Aktivieren Sie die dynamische ARP-Inspektion (DAI) im VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Konfigurieren Sie ein MAC-Limit von 4 und verwenden Sie die Standardaktion drop. (Pakete werden verworfen, und die MAC-Adresse wird der Ethernet-Switching-Tabelle nicht hinzugefügt, wenn der MAC-Grenzwert auf den Schnittstellen überschritten wird):
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
Zulassen, dass gelernte MAC-Adressen für eine bestimmte Schnittstelle über Neustarts des Switches und Interface-Down-Ereignisse hinweg bestehen bleiben, indem Sie persistentes MAC-Lernen aktivieren:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
Konfigurieren Sie ein MAC-Verschiebungslimit von 5 und verwenden Sie die Standardaktion drop. (Pakete werden verworfen, und die MAC-Adresse wird der Ethernet-Switching-Tabelle nicht hinzugefügt, wenn eine MAC-Adresse das MAC-Verschiebelimit überschritten hat):
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
Konfigurieren Sie zulässige MAC-Adressen:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
Verifizierung
So bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen, ob DHCP-Snooping auf dem Switch ordnungsgemäß funktioniert
- Überprüfen, ob DAI auf dem Switch ordnungsgemäß funktioniert
- Überprüfen, ob MAC-Limiting, MAC-Move-Limiting und persistentes MAC-Lernen auf dem Switch ordnungsgemäß funktionieren
- Überprüfen, ob zulässige MAC-Adressen auf dem Switch ordnungsgemäß funktionieren
Überprüfen, ob DHCP-Snooping auf dem Switch ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass DHCP-Snooping auf dem Switch funktioniert.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn die Schnittstelle, über die der DHCP-Server eine Verbindung zum Switch herstellt, vertrauenswürdig ist. Die folgende Ausgabe ergibt sich, wenn Anforderungen von den MAC-Adressen gesendet werden und der Server die IP-Adressen und Leases bereitgestellt hat:
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
Bedeutung
Wenn die Schnittstelle, über die der DHCP-Server eine Verbindung zum Switch herstellt, auf vertrauenswürdig festgelegt wurde, zeigt die Ausgabe (siehe vorheriges Beispiel) für jede MAC-Adresse die zugewiesene IP-Adresse und die Lease-Zeit an, d. h. die Zeit in Sekunden, die bis zum Ablauf der Lease verbleibt.
Wenn der DHCP-Server als nicht vertrauenswürdig konfiguriert wurde, wurden der DHCP-Snooping-Datenbank keine Einträge hinzugefügt, und in der Ausgabe des show dhcp snooping binding Befehls wurde nichts angezeigt.
Überprüfen, ob DAI auf dem Switch ordnungsgemäß funktioniert
Zweck
Vergewissern Sie sich, dass DAI auf dem Switch funktioniert.
Aktion
Senden Sie einige ARP-Anforderungen von Netzwerkgeräten, die mit dem Switch verbunden sind.
Zeigen Sie die DAI-Informationen an:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Bedeutung
Die Beispielausgabe zeigt die Anzahl der ARP-Pakete, die pro Schnittstelle empfangen und geprüft wurden, mit einer Auflistung, wie viele Pakete bestanden wurden und wie viele die Überprüfung auf jeder Schnittstelle nicht bestanden haben. Der Switch vergleicht die ARP-Anfragen und -Antworten mit den Einträgen in der DHCP-Snooping-Datenbank. Wenn eine MAC- oder IP-Adresse im ARP-Paket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmt, wird das Paket verworfen.
Überprüfen, ob MAC-Limiting, MAC-Move-Limiting und persistentes MAC-Lernen auf dem Switch ordnungsgemäß funktionieren
Zweck
Stellen Sie sicher, dass MAC-Limiting, MAC-Move-Limiting und persistentes MAC-Lernen auf dem Switch funktionieren.
Aktion
Angenommen, es wurden zwei Pakete von Hosts auf ge-0/0/1 und fünf Pakete von Hosts auf ge-0/0/2 gesendet, wobei beide Schnittstellen auf ein MAC-Limit von 4 festgelegt sind, wobei die Standardaktion drop und ge-0/0/1 für persistentes MAC-Lernen aktiviert ist.
Zeigen Sie die gelernten MAC-Adressen an:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Nehmen wir nun an, dass Pakete von zwei der Hosts auf ge-0/0/2 gesendet wurden, nachdem sie mehr als fünfmal innerhalb von 1 Sekunde auf andere Schnittstellen verschoben wurden, wobei employee-vlan auf ein MAC-Verschiebungslimit von 5 mit der Standardaktion drop festgelegt wurde.
Zeigen Sie die MAC-Adressen in der Tabelle an:
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Bedeutung
Die erste Beispielausgabe zeigt, dass bei einem MAC-Limit von 4 für jede Schnittstelle die fünfte MAC-Adresse auf ge-0/0/2 nicht gelernt wurde, weil sie das MAC-Limit überschritten hat. Die zweite Beispielausgabe zeigt, dass die MAC-Adressen für drei der Hosts auf ge-/0/0/2 nicht gelernt wurden, da die Hosts in 1 Sekunde mehr als fünfmal zurückverschoben wurden.
Die Schnittstelle ge-0/0/1.0 wurde für persistentes MAC-Lernen aktiviert, daher sind die MAC-Adressen, die dieser Schnittstelle zugeordnet sind, vom Typ persistent.
Überprüfen, ob zulässige MAC-Adressen auf dem Switch ordnungsgemäß funktionieren
Zweck
Stellen Sie sicher, dass die zulässigen MAC-Adressen auf dem Switch funktionieren.
Aktion
Zeigen Sie die MAC-Cache-Informationen an, nachdem fünf zulässige MAC-Adressen auf der Schnittstelle ge-0/0/2 konfiguriert wurden:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Bedeutung
Da der MAC-Grenzwert für diese Schnittstelle auf 4 festgelegt wurde, werden nur vier der fünf konfigurierten zulässigen Adressen gelernt.