Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre IP Source Guard pour la sécurité des ports sur les commutateurs

Les commutateurs LAN Ethernet sont vulnérables aux attaques impliquant l’usurpation d’adresses IP sources ou d’adresses MAC sources. Vous pouvez utiliser la fonctionnalité de sécurité du port d’accès IP Source Guard pour atténuer les effets de ces attaques.

usurpation d’adresse IP

Les hôtes des interfaces d’accès peuvent usurper des adresses IP sources et des adresses MAC sources en inondant le commutateur de paquets contenant des adresses non valides. De telles attaques, combinées à d’autres techniques telles que les attaques TCP SYN flood, peuvent provoquer des attaques par déni de service (DoS). Avec l’usurpation de l’adresse IP source ou de l’adresse MAC source, l’administrateur système ne peut pas identifier la source de l’attaque. L’attaquant peut usurper des adresses sur le même sous-réseau ou sur un sous-réseau différent.

Fonctionnement d’IP Source Guard

IP Source Guard examine chaque paquet envoyé à partir d’un hôte connecté à une interface d’accès non fiable sur le commutateur. L’adresse IP, l’adresse MAC, le VLAN et l’interface associés à l’hôte sont comparés aux entrées stockées dans la base de données de surveillance DHCP. Si l’en-tête du paquet ne correspond pas à une entrée valide dans la base de données d’écoute DHCP, le commutateur ne transfère pas le paquet, c’est-à-dire que le paquet est ignoré.

Note:

  • Si votre commutateur utilise Junos OS pour EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software), la surveillance DHCP est activée automatiquement lorsque vous activez IP Source Guard sur un VLAN. Reportez-vous à la section Configuration d’IP Source Guard (ELS).

  • Si votre commutateur utilise Junos OS pour EX Series sans prendre en charge le style de configuration ELS (Enhanced L2 Software) et que vous activez IP Source Guard sur un VLAN, vous devez également activer explicitement la surveillance DHCP sur ce VLAN. Dans le cas contraire, la valeur par défaut « pas de surveillance DHCP » s’applique au VLAN. Reportez-vous à la section Configuration d’IP Source Guard (non-ELS).

IP Source Guard examine les paquets envoyés à partir d’interfaces d’accès non approuvées sur ces VLAN. Par défaut, les interfaces d’accès ne sont pas approuvées et les interfaces trunk sont approuvées. IP Source Guard n’examine pas les paquets qui ont été envoyés au commutateur par des périphériques connectés à des interfaces approuvées, de sorte qu’un serveur DHCP puisse être connecté à cette interface pour fournir des adresses IP dynamiques.

Note:

Sur un commutateur EX9200, vous pouvez définir une interface trunk de manière à untrusted ce qu’elle prenne en charge la protection de source IP.

IPv6 Source Guard

IPv6 Source Guard est disponible sur les commutateurs qui prennent en charge la surveillance DHCPv6. Pour déterminer si votre commutateur prend en charge la surveillance DHCPv6, reportez-vous à l’Explorateur de fonctionnalités.

Table d’écoute DHCP

IP Source Guard obtient des informations sur les liaisons entre l’adresse IP et l’adresse MAC (liaison IP-MAC) à partir de la table de surveillance DHCP, également appelée table de liaison DHCP. La table de surveillance DHCP est renseignée soit par une surveillance DHCP dynamique, soit par la configuration de liaisons d’adresse IP statique spécifique à l’adresse MAC. Pour plus d’informations sur la table d’écoute DHCP, reportez-vous à la section Présentation de l’écoute DHCP (ELS).

Pour afficher la table de surveillance DHCP, exécutez la commande de mode opérationnel qui s’affiche dans l’interface de ligne de commande du commutateur.

Pour la surveillance DHCP :

Pour la surveillance DHCPv6 :

Utilisations typiques d’autres fonctionnalités de Junos OS avec IP Source Guard

Vous pouvez configurer IP Source Guard avec d’autres fonctionnalités de sécurité de port, notamment :

  • Marquage VLAN (utilisé pour les VLAN vocaux)

  • GRES (basculement du moteur de routage gracieux)

  • Configurations de Virtual Chassis

  • Groupes d’agrégation de liens (LAG)

  • Authentification utilisateur 802.1X en mode demandeur unique, demandeur sécurisé unique ou demandeur multiple.

    Note:

    Lors de l’implémentation de l’authentification utilisateur 801.X en mode de demande sécurisée unique ou multiple, suivez les instructions de configuration suivantes :

    • Si l’interface 802.1X fait partie d’un VLAN MAC non balisé et que vous souhaitez activer IP Source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP Source Guard et DHCP snooping sur tous les VLAN dynamiques auxquels l’interface appartient sans balise. Cela s’applique également à la protection de source IPv6 et à la surveillance DHCPv6.

    • Si l’interface 802.1X fait partie d’un VLAN MAC balisé et que vous souhaitez activer IP Source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP Source Guard et la surveillance DHCP sur tous les VLAN dynamiques dans lesquels l’interface a marqué l’appartenance. Cela s’applique également à la protection de source IPv6 et à la surveillance DHCPv6.

Documentation connexe