SUR CETTE PAGE
Exemple : Protection contre les attaques d’usurpation ARP
Dans une attaque d’usurpation ARP, l’attaquant associe sa propre adresse MAC à l’adresse IP d’un périphérique réseau connecté au commutateur. Le trafic destiné à cette adresse IP est désormais envoyé à l’attaquant au lieu d’être envoyé à la destination prévue. L’attaquant peut envoyer de faux messages ARP sur le réseau local.
Lorsque l’inspection ARP dynamique (DAI) est activée, le commutateur consigne le nombre de paquets ARP non valides qu’il reçoit sur chaque interface, ainsi que les adresses IP et MAC de l’expéditeur. Vous pouvez utiliser ces messages de journal pour découvrir l’usurpation ARP sur le réseau. Les paquets de sondes ARP ne sont pas soumis à une inspection ARP dynamique. Le commutateur transfère toujours ces paquets.
Cet exemple décrit comment configurer la surveillance DHCP et l’inspection ARP dynamique (DAI), deux fonctions de sécurité de ports, pour protéger le commutateur contre les attaques par usurpation ARP :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series ou un commutateur QFX3500
Junos OS version 11.4 ou ultérieure pour les commutateurs EX Series ou Junos OS version 12.1 ou ultérieure pour les commutateurs QFX Series
Un serveur DHCP pour fournir des adresses IP aux périphériques réseau sur le commutateur
Avant de configurer la surveillance DHCP et les fonctionnalités de sécurité à deux ports (DAI) pour atténuer les attaques par usurpation ARP, assurez-vous d’avoir :
Connectez le serveur DHCP au commutateur - effectué.
Configurez un VLAN sur le commutateur - effectué. Voir la tâche pour votre plate-forme :
Vue d’ensemble et topologie
Les réseaux locaux Ethernet sont vulnérables à l’usurpation d’adresse et aux attaques par déni de service (DoS) sur les équipements réseau. Cet exemple décrit comment protéger le commutateur contre un type d’attaque courant, l’attaque par usurpation ARP.
Lors d’une attaque par usurpation d’identité ARP, l’attaquant envoie de faux messages ARP, créant ainsi divers types de problèmes sur le réseau local (par exemple, l’attaquant peut lancer une attaque de l’homme du milieu).
Cet exemple montre comment configurer les fonctionnalités de sécurité de port sur un commutateur connecté à un serveur DHCP. La configuration de cet exemple inclut le VLAN employee-vlan sur le commutateur. La procédure de création de ce VLAN est décrite dans la rubrique Exemple : Configuration du pontage avec plusieurs VLAN pour les commutateurs EX Series et Exemple : Configuration du pontage avec plusieurs VLAN sur les commutateurs pour le QFX Series. Cette procédure n’est pas répétée en l’espèce. La figure 1 illustre la topologie de cet exemple.
Topologie
ports
Les composants de la topologie de cet exemple sont indiqués dans le tableau 1.
| Paramètres des propriétés | |
|---|---|
Matériel de commutation |
Un EX3200-24P, 24 ports (8 ports PoE) ou un commutateur QFX3500 |
Nom et ID du VLAN |
employé-vlan, balise 20 |
Sous-réseaux VLAN |
192.0.2.16/28 192.0.2.17 à 192.0.2.30192.0.2.31 est l'adresse de diffusion du sous-réseau |
Interfaces dans employee-vlan |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interface pour serveur DHCP |
GE-0/0/8 |
Dans cet exemple, le commutateur a déjà été configuré comme suit :
L’accès sécurisé aux ports est activé sur le commutateur.
La surveillance DHCP est désactivée sur le VLAN employee-vlan.
Tous les ports d’accès ne sont pas approuvés, ce qui est le paramètre par défaut.
Configuration
Pour configurer la surveillance DHCP et l’inspection ARP dynamique (DAI) afin de protéger le commutateur contre les attaques ARP :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la surveillance DHCP et l’inspection ARP dynamique (DAI), copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted user@switch# set vlan employee-vlan examine-dhcp user@switch# set vlan employee-vlan arp-inspection
Procédure étape par étape
Configurez la surveillance DHCP et l’inspection ARP dynamique (DAI) sur le VLAN :
Définissez l’interface ge-0/0/8 comme approuvée :
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
Activez la surveillance DHCP sur le VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
Activer le DAI sur le VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Résultats
Vérifiez les résultats de la configuration :
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection;
examine-dhcp;
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur
- Vérification du bon fonctionnement du DAI sur le commutateur
Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur
But
Vérifiez que la surveillance DHCP fonctionne sur le commutateur.
Action
Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur.
Affiche les informations de surveillance DHCP lorsque le port sur lequel le serveur DHCP se connecte au commutateur est approuvé. La sortie suivante se produit lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :
user@switch> show dhcp-snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee-vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee-vlan ge-0/0/3.0
Signification
Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie sur approuvée, la sortie (voir l’exemple précédent) affiche, pour chaque adresse MAC, l’adresse IP attribuée et la durée du bail, c’est-à-dire le temps, en secondes, restant avant l’expiration du bail.
Vérification du bon fonctionnement du DAI sur le commutateur
But
Vérifiez que le DAI fonctionne sur le commutateur.
Action
Envoyez des requêtes ARP à partir des périphériques réseau connectés au commutateur.
Affichez les informations DAI :
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Signification
L’exemple de sortie indique le nombre de paquets ARP reçus et inspectés par interface, avec une liste du nombre de paquets passés et du nombre d’échecs à l’inspection sur chaque interface. Le commutateur compare les requêtes et les réponses ARP aux entrées de la base de données d’écoute DHCP. Si une adresse MAC ou une adresse IP dans le paquet ARP ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.