SUR CETTE PAGE
Exemple : Configuration d’IPv6 Source Guard et de l’inspection de découverte des voisins pour protéger un commutateur contre l’usurpation d’adresse IPv6
Cet exemple décrit comment activer IPv6 Source Guard et l’inspection de découverte de voisins sur un VLAN spécifié pour protéger un commutateur EX Series contre les attaques par usurpation d’adresse IPv6. La prise en charge d’IPv6 Source Guard et de l’inspection de découverte des voisins a été introduite sur les commutateurs EX2200 et EX3300 dans Junos OS version 14.1X53-D10.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX2200 ou EX3300
Junos OS version 14.1X53-D10 ou ultérieure pour les commutateurs EX Series
Un serveur DHCPv6 pour fournir des adresses IPv6 aux périphériques réseau sur le commutateur
Avant de configurer la protection de source IPv6 et l’inspection de découverte de voisin pour empêcher les attaques par usurpation d’adresse IPv6, assurez-vous d’avoir :
Connectez le serveur DHCPv6 au commutateur - effectué.
Configurez le VLAN auquel vous ajoutez des fonctionnalités de sécurité DHCPv6 - effectué. Reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series.
Vue d’ensemble et topologie
Les commutateurs LAN Ethernet sont vulnérables aux attaques de sécurité qui impliquent l’usurpation (falsification) d’adresses MAC sources ou d’adresses IPv6 sources. Ces paquets usurpés sont envoyés depuis des hôtes connectés à des interfaces d’accès non approuvées sur le commutateur. Pour plus d’informations sur les attaques par usurpation d’adresse IPv6, consultez Inspection de découverte de voisins IPv6.
La protection de la source IPv6 et l’inspection de découverte des voisins atténuent le risque d’attaques par usurpation d’identité IPv6 à l’aide de la table d’écoute DHCPv6. Également connue sous le nom de table de liaison, la table d’écoute DHCPv6 contient les liaisons valides des adresses IPv6 aux adresses MAC. Lorsqu’un paquet est envoyé à partir d’un hôte attaché à une interface d’accès non approuvée sur le commutateur, IPv6 Source Guard vérifie l’adresse IPv6 source et l’adresse MAC du paquet par rapport à la table de surveillance DHCPv6. S’il n’y a pas de correspondance dans la table, le commutateur ne transfère pas le paquet, c’est-à-dire que le paquet est ignoré. L’inspection de découverte des voisins vérifie les messages de découverte des voisins envoyés entre les nœuds IPv6 sur la même liaison réseau par rapport à la table d’écoute DHCPv6 et ignore également le paquet si aucune correspondance n’est trouvée.
Cet exemple montre comment configurer ces fonctionnalités importantes de sécurité de port sur un commutateur connecté à un serveur DHCPv6. Dans cet exemple, la configuration inclut le VLAN sales du commutateur. La figure 1 illustre la topologie de cet exemple.
L’interface trunk qui se connecte à l’interface du serveur DHCPv6 est un port approuvé par défaut.
Topologie
ports
Les composants de la topologie de cet exemple sont indiqués dans le tableau 1.
| Paramètres des propriétés | |
|---|---|
Matériel de commutation |
Un commutateur EX2200 ou EX3300 |
Nom et ID du VLAN |
ventes, tag |
Sous-réseaux VLAN |
192.0.2.16/28 192.0.2.17 à 192.0.2.30 192.0.2.31 est l'adresse de diffusion du sous-réseau |
Les interfaces dans |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interface se connectant au serveur DHCPv6 |
GE-0/0/8 |
Dans cet exemple, le commutateur a déjà été configuré comme suit :
Tous les ports d’accès ne sont pas approuvés, ce qui est le paramètre par défaut.
Le port trunk (ge-0/0/8) est approuvé, ce qui est le paramètre par défaut.
Le VLAN (ventes) a été configuré pour inclure les interfaces spécifiées.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement l’inspection de la protection de source IPv6 et de la découverte des voisins, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set ethernet-switching-options secure-access-port vlan sales examine-dhcpv6 set ethernet-switching-options secure-access-port vlan sales ipv6-source-guard set ethernet-switching-options secure-access-port vlan sales neighbor-discovery-inspection
Procédure étape par étape
Configurez l’inspection de la protection de source IPv6 et de la découverte de voisins (et configurez ainsi automatiquement la surveillance DHCPv6) sur le VLAN :
Activez l’écoute DHCPv6 sur le VLAN :
[edit ethernet-switching-options secure-access-port vlan sales] user@switch# set examine-dhcpv6
Configurez la protection de source IPv6 sur le VLAN :
[edit ethernet-switching-options secure-access-port vlan sales] user@switch# set ipv6-source-guard
Configurez l’inspection de découverte de voisinage sur le VLAN :
[edit ethernet-switching-options secure-access-port vlan sales] user@switch# set neighbor-discovery-inspection
Résultats
Vérifiez les résultats de la configuration :
user@switch> show ethernet-switching-options secure-access-port
vlan sales {
examine-dhcpv6;
ipv6-source-guard;
neighbor-discovery-inspection;
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification du bon fonctionnement de la surveillance DHCPv6 sur le commutateur
- Vérification du bon fonctionnement de l’inspection de découverte des voisins sur le commutateur
Vérification du bon fonctionnement de la surveillance DHCPv6 sur le commutateur
But
Vérifiez que la surveillance DHCPv6 fonctionne sur le commutateur.
Action
Envoyez des requêtes DHCPv6 à partir de périphériques réseau (dans cet exemple, il s’agit de clients DHCPv6) connectés au commutateur.
Affiche les informations de surveillance DHCPv6 lorsque le port sur lequel le serveur DHCPv6 se connecte au commutateur est approuvé. Voici la sortie lorsque des requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IPv6 et les baux :
user@switch> show dhcpv6 snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:10:94:00:00:01 2001:db8::10:0:3 3599992 dynamic sales ge-0/0/1.0 00:10:94:00:00:01 fe80::210:94ff:fe00:1 3599992 dynamic sales ge-0/0/1.0 00:10:94:00:00:02 2001:db8::10:0:5 3599992 dynamic sales ge-0/0/2.0 00:10:94:00:00:02 fe80::210:94ff:fe00:2 3599992 dynamic sales ge-0/0/2.0 00:10:94:00:00:03 2001:db8::10:0:7 3599992 dynamic sales ge-0/0/3.0 00:10:94:00:00:03 fe80::210:94ff:fe00:3 3599992 dynamic sales ge-0/0/3.0
Signification
La sortie affiche l’adresse IP attribuée, l’adresse MAC, le nom du VLAN et la durée, en secondes, louée à l’adresse IP. Étant donné que les hôtes IPv6 ont généralement plus d’une adresse IP attribuée à chacune de leurs interfaces réseau compatibles IPv6, deux entrées sont ajoutées pour chaque client : l’une avec l’adresse IP lien-local, qui est utilisée par le client pour les transactions DHCP, et l’autre avec l’adresse IP attribuée par le serveur. L’adresse link-local a toujours le préfixe fe80::/10.
Vérification du bon fonctionnement de l’inspection de découverte des voisins sur le commutateur
But
Vérifiez que l’inspection de découverte des voisins fonctionne sur le commutateur.
Action
Envoyez des paquets de découverte voisins à partir de périphériques réseau connectés au commutateur.
Affichez les informations de découverte du voisinage :
user@switch> show neighbor-discovery-inspection statistics ND inspection statistics: Interface Packets received ND inspection pass ND inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Signification
L’exemple de sortie indique le nombre de paquets de découverte de voisins reçus et inspectés par interface, ainsi que le nombre de paquets passés et le nombre d’incidents ayant échoué à l’inspection sur chaque interface. Le commutateur compare les demandes de découverte et les réponses de voisinage avec les entrées de la base de données d’écoute DHCPv6. Si une adresse MAC ou une adresse IPv6 dans le paquet de découverte voisin ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.