Exemple : configuration d’IP Source Guard avec d’autres fonctionnalités du commutateur EX Series pour atténuer les attaques par usurpation d’adresse sur des interfaces d’accès non approuvées
Les commutateurs LAN Ethernet sont vulnérables aux attaques impliquant l’usurpation d’adresses IP sources ou d’adresses MAC sources. Ces paquets usurpés sont envoyés depuis des hôtes connectés à des interfaces d’accès non approuvées sur le commutateur. Vous pouvez activer la fonctionnalité de sécurité du port IP Source Guard sur les commutateurs EX Series pour atténuer les effets de telles attaques. Si IP Source Guard détermine qu’une adresse IP source et une adresse MAC source dans une liaison d’un paquet entrant ne sont pas valides, le commutateur ne transfère pas le paquet.
Vous pouvez utiliser IP Source Guard en combinaison avec d’autres fonctionnalités du commutateur EX Series pour atténuer les attaques par usurpation d’adresse sur les interfaces d’accès non approuvées. Cet exemple illustre deux scénarios de configuration :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series
Junos OS version 9.2 ou ultérieure pour les commutateurs EX Series
Un serveur DHCP pour fournir des adresses IP aux périphériques réseau sur le commutateur
Un serveur RADIUS pour fournir une authentification 802.1X
Avant de configurer IP Source Guard pour les scénarios associés à cet exemple, assurez-vous d’avoir :
Connectez le serveur DHCP au commutateur - effectué.
Connectez le serveur RADIUS au commutateur et configurez l’authentification de l’utilisateur sur le serveur RADIUS - effectué. Voir Exemple : connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
VLAN configurés sur le commutateur - effectué. Dans cet exemple, nous avons deux VLAN, qui sont nommés
DATAetGUEST. LeDATAVLAN est configuré avecvlan-id300. LeGUESTVLAN (qui fonctionne comme le VLAN invité) est configuré avecvlan-id 100. Reportez-vous à la section Exemple : configuration du pontage avec plusieurs VLAN pour commutateurs EX Series pour plus d’informations sur la configuration des VLAN.
Vue d’ensemble et topologie
IP Source Guard vérifie l’adresse IP source et l’adresse MAC d’un paquet envoyé à partir d’un hôte connecté à une interface d’accès non fiable sur le commutateur. Si IP Source Guard détermine que l’en-tête du paquet contient une adresse IP source ou une adresse MAC source non valide, il s’assure que le commutateur ne transfère pas le paquet, c’est-à-dire que le paquet est ignoré.
Lorsque vous configurez IP Source Guard, vous l’activez sur un ou plusieurs VLAN. IP Source Guard applique ses règles de vérification aux interfaces d’accès non approuvées sur ces VLAN. Par défaut, sur les commutateurs EX Series, les interfaces d’accès ne sont pas approuvées et les interfaces trunk sont approuvées. IP Source Guard ne vérifie pas les paquets qui ont été envoyés au commutateur par les périphériques connectés aux interfaces trunk ou aux interfaces d’accès approuvé, c’est-à-dire les interfaces configurées avec dhcp-trusted. Un serveur DHCP peut être connecté à une dhcp-trusted interface pour fournir des adresses IP dynamiques.
IP Source Guard obtient des informations sur les adresses IP, les adresses MAC ou les liaisons VLAN à partir de la base de données d’écoute DHCP, ce qui permet au commutateur de valider les paquets IP entrants par rapport aux entrées de cette base de données.
Topologie
La topologie de cet exemple inclut un commutateur EX Series, qui est connecté à la fois à un serveur DHCP et à un serveur RADIUS.
L’authentification utilisateur 802.1X appliquée dans cet exemple est pour le mode demandeur unique.
Vous pouvez utiliser IP Source Guard avec l’authentification utilisateur 802.1X pour le mode demandeur sécurisé unique ou en mode demandeur multiple. Si vous implémentez IP Source Guard avec authentification 802.1X en mode de demandeur sécurisé unique ou en mode de demandeur multiple, vous devez suivre les instructions de configuration suivantes :
Si l’interface 802.1X fait partie d’un VLAN MAC non balisé et que vous souhaitez activer IP Source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP Source Guard et DHCP snooping sur tous les VLAN dynamiques auxquels l’interface appartient sans balise.
Si l’interface 802.1X fait partie d’un VLAN MAC balisé et que vous souhaitez activer IP Source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP Source Guard et la surveillance DHCP sur tous les VLAN dynamiques dans lesquels l’interface a marqué l’appartenance.
Dans le premier exemple de configuration, deux clients (périphériques réseau) sont connectés à un commutateur d’accès. Vous configurez la protection de la source IP et l’authentification utilisateur 802.1X, en combinaison avec deux fonctionnalités de sécurité de port d’accès : la surveillance DHCP et l’inspection ARP dynamique (DAI). Cette configuration est conçue pour protéger le commutateur des attaques IP telles que les attaques ping de la mort , la famine DHCP et l’usurpation ARP.
Dans le deuxième exemple de configuration, le commutateur est configuré pour l’authentification utilisateur 802.1X. Si le client échoue à s’authentifier, le commutateur le redirige vers un VLAN invité qui lui permet d’accéder à un ensemble de fonctionnalités réseau restreintes. Vous configurez IP Source Guard sur le VLAN invité pour atténuer les effets de l’usurpation d’adresse IP source.
Vous pouvez définir l’indicateur ip-source-guard dans l’instruction traceoptions à des fins de débogage.
Configuration d’IP Source Guard avec l’authentification 802.1X, la surveillance DHCP et l’inspection ARP dynamique
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement IP Source Guard avec l’authentification 802.1X et d’autres fonctionnalités de sécurité du port d’accès, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set ethernet-switching-options secure-access-port interface ge-0/0/24 dhcp-trusted set ethernet-switching-options secure-access-port vlan DATA examine-dhcp set ethernet-switching-options secure-access-port vlan DATA arp-inspection set ethernet-switching-options secure-access-port vlan DATA ip-source-guard set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members DATA set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members DATA set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members DATA set protocols lldp-med interface ge-0/0/0.0 set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/0.0 supplicant single set protocols lldp-med interface ge-0/0/1.0 set protocols dot1x authenticator interface ge-0/0/1.0 supplicant single
Procédure étape par étape
Pour configurer IP Source Guard avec l’authentification 802.1X et diverses fonctionnalités de sécurité de port :
Configurez l’interface sur laquelle le serveur DHCP est connecté au commutateur en tant qu’interface sécurisée et ajoutez cette interface au
DATAVLAN :[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24 dhcp-trusted user@switch# set set ge-0/0/24 unit 0 family ethernet-switching vlan members DATA
Associez deux autres interfaces d’accès (non approuvées) au VLAN DATA :
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members DATA user@switch# set ge-0/0/1 unit 0 family ethernet-switching vlan members DATA
Configurez l’authentification utilisateur 802.1X et LLDP-MED sur les deux interfaces que vous avez associées au VLAN DATA :
[edit protocols] user@switch# set lldp-med interface ge-0/0/0.0 user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/0.0 supplicant single user@switch# set lldp-med interface ge-0/0/1.0 user@switch# set dot1x authenticator interface ge-0/0/1.0 supplicant single
Configurez trois fonctionnalités de sécurité des ports d’accès (surveillance DHCP, inspection ARP dynamique (DAI) et protection de source IP) sur le
DATAVLAN :[edit ethernet-switching-options] user@switch# set secure-access-port vlan DATA examine-dhcp user@switch# set secure-access-port vlan DATA arp-inspection user@switch# set secure-access-port vlan DATA ip-source-guard
Résultats
Vérifiez les résultats de la configuration :
[edit ethernet-switching-options]
secure-access-port {
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan DATA {
arp-inspection;
examine-dhcp;
ip-source-guard;
}
}
[edit interfaces]
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
[edit protocols]
lldp-med {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
dot1x {
authenticator {
authentication-profile-name profile52;
}
interface {
ge-0/0/0.0 {
supplicant single;
}
ge-0/0/1.0 {
supplicant single;
}
}
}
Configuration d’IP Source Guard sur un VLAN invité
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement IP Source Guard sur un VLAN invité, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set ethernet-switching-options secure-access-port interface ge-0/0/24 dhcp-trusted set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members GUEST set ethernet-switching-options secure-access-port vlan GUEST examine-dhcp set ethernet-switching-options secure-access-port vlan GUEST ip-source-guard set ethernet-switching-options secure-access-port interface ge-0/0/0 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan GUEST set ethernet-switching-options secure-access-port interface ge-0/0/1 static-ip 10.1.1.2 mac 00:22:22:22:22:22 vlan GUEST set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/0 supplicant single set protocols dot1x authenticator interface ge-0/0/0 guest-vlan GUEST set protocols dot1x authenticator interface ge-0/0/0 supplicant-timeout 2 set protocols dot1x authenticator interface ge-0/0/1 supplicant single set protocols dot1x authenticator interface ge-0/0/1 guest-vlan GUEST set protocols dot1x authenticator interface ge-0/0/1 supplicant-timeout 2
Procédure étape par étape
Pour configurer IP Source Guard sur un VLAN invité :
Configurez l’interface sur laquelle le serveur DHCP est connecté au commutateur en tant qu’interface sécurisée et ajoutez cette interface au
GUESTVLAN :[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24 dhcp-trusted user@switch# set ge-0/0/24 unit 0 family ethernet-switching vlan members GUEST
Configurez deux interfaces pour le mode port d’accès :
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/1 unit 0 family ethernet-switching port-mode access
Configurez la surveillance DHCP et la protection de source IP sur le
GUESTVLAN :[edit ethernet-switching-options] user@switch# set secure-access-port vlan GUEST examine-dhcp user@switch# set secure-access-port vlan GUEST ip-source-guard
Configurez une adresse IP statique sur chacune des deux interfaces (non approuvées) du
GUESTVLAN (facultatif) :[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/0 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan GUEST
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/1 static-ip 10.1.1.2 mac 00:22:22:22:22:22 vlan GUEST
Configurez l’authentification utilisateur 802.1X :
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/0 supplicant single user@switch# set dot1x authenticator interface ge-0/0/1 supplicant single user@switch# set dot1x authenticator interface ge-0/0/0 supplicant-timeout 2 user@switch# set dot1x authenticator interface ge-0/0/1 supplicant-timeout 2
Résultats
Vérifiez les résultats de la configuration :
[edit protocols]
dot1x {
authenticator {
authentication-profile-name profile52;
}
interface {
ge-0/0/0.0 {
guest-vlan GUEST;
supplicant single;
supplicant-timeout 2;
}
ge-0/0/1.0 {
guest-vlan GUEST;
supplicant single;
supplicant-timeout 2;
}
}
}
}
[edit vlans]
GUEST {
vlan-id 100;
}
[edit interfaces]
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members GUEST;
}
}
}
}
[edit ethernet-switching-options]
secure-access-port {
interface ge-0/0/0.0 {
static-ip 10.1.1.1 vlan GUEST mac 00:11:11:11:11:11;
}
interface ge-0/0/1.0 {
static-ip 10.1.1.2 vlan GUEST mac 00:22:22:22:22:22;
}
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan GUEST {
examine-dhcp;
ip-source-guard;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification du bon fonctionnement de l’authentification utilisateur 802.1X sur l’interface
- Vérification de l’association VLAN avec l’interface
- Vérification du fonctionnement de la surveillance DHCP sur le VLAN
- Vérification du bon fonctionnement d’IP Source Guard sur le VLAN
Vérification du bon fonctionnement de l’authentification utilisateur 802.1X sur l’interface
But
Vérifiez que la configuration 802.1X fonctionne sur l’interface.
Action
user@switch> show dot1x interface ge/0/0/0.0 detail
ge-0/0/0.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 2
Quiet period: 30 seconds
Transmit period: 15 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 2 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: GUEST
Number of connected supplicants: 1
Supplicant: md5user01, 00:30:48:90:53:B7
Operational state: Authenticated
Backend Authentication state: Idle
Authentcation method: Radius
Authenticated VLAN: DATA
Session Reauth interval: 3600 seconds
Reauthentication due in 3581 seconds
Signification
Le Supplicant mode champ affiche le mode d’administration configuré pour chaque interface. Le Guest VLAN member champ affiche le VLAN auquel un demandeur est connecté lorsqu’il est authentifié à l’aide d’un VLAN invité. Le Authenticated VLAN champ affiche le VLAN auquel le demandeur est connecté.
Vérification de l’association VLAN avec l’interface
But
Vérifiez les états des interfaces et les appartenances aux VLAN.
Action
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking ge-0/0/0.0 up DATA 101 untagged unblocked ge-0/0/1.0 up DATA 101 untagged unblocked ge-0/0/24 up DATA 101 untagged unblocked
Signification
Le VLAN members champ affiche les associations entre les VLAN et les interfaces. Le State champ indique si les interfaces sont actives ou inactives.
Pour la configuration du VLAN invité, l’interface est associée au VLAN invité si et quand le demandeur échoue à l’authentification utilisateur 802.1X.
Vérification du fonctionnement de la surveillance DHCP sur le VLAN
But
Vérifiez que la surveillance DHCP est activée et fonctionne sur le VLAN. Envoyez des requêtes DHCP à partir de périphériques réseau (clients DHCP) connectés au commutateur.
Action
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:30:48:90:53:B7 192.0.2.1 86392 dynamic DATA ge-0/0/24.0
Signification
Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie sur dhcp-trusted, la sortie affiche pour chaque adresse MAC, l’adresse IP attribuée et la durée du bail, c’est-à-dire le temps, en secondes, restant avant l’expiration du bail. Les adresses IP statiques n’ont pas de durée de bail attribuée. Les entrées configurées statiquement n’expirent jamais.
Vérification du bon fonctionnement d’IP Source Guard sur le VLAN
But
Vérifiez que la protection de la source IP est activée et fonctionne sur le VLAN.
Action
user@switch> show ip-source-guard IP source guard information: Interface Tag IP Address MAC Address VLAN ge-0/0/0.0 0 192.0.2.2 00:30:48:90:63:B7 DATA ge-0/0/1.0 0 192.0.2.3 00:30:48:90:73:B7 DATA
Signification
La table de la base de données IP Source Guard contient les VLAN pour lesquels IP Source Guard est activé, les interfaces d’accès non approuvées sur ces VLAN, les ID de balise VLAN 802.1Q s’il y en a, ainsi que les adresses IP et les adresses MAC qui sont liées les unes aux autres. Si une interface de commutation est associée à plusieurs VLAN et que certains de ces VLAN ont IP Source Guard activé (ou configuré) tandis que d’autres n’ont pas IP Source Guard activé, les VLAN pour lesquels IP Source Guard n’est pas activé sont marqués d’une étoile (*) dans les IP Address champs « et MAC Address ».