SUR CETTE PAGE
Exemple : Protection contre les attaques de serveurs DHCP non autorisés
Lors d'une attaque de serveur DHCP non autorisé, un attaquant a introduit un serveur non autorisé dans le réseau, ce qui lui permet d'accorder des baux d'adresse IP aux clients DHCP du réseau et de s'attribuer lui-même comme périphérique de passerelle.
Cet exemple décrit comment configurer une interface de serveur DHCP comme non approuvée pour protéger le commutateur d’un serveur DHCP non autorisé :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series ou un commutateur QFX3500
Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series ou Junos OS version 12.1 ou ultérieure pour les commutateurs QFX Series
Un serveur DHCP pour fournir des adresses IP aux périphériques réseau sur le commutateur
Avant de configurer une interface de serveur DHCP non approuvée pour atténuer les attaques de serveur DHCP non autorisées, assurez-vous d’avoir :
Connectez le serveur DHCP au commutateur - effectué.
Activez la surveillance DHCP sur le VLAN - effectué.
Configurez un VLAN sur le commutateur - effectué. Voir la tâche pour votre plate-forme :
Vue d’ensemble et topologie
Les réseaux locaux Ethernet sont vulnérables à l’usurpation d’adresse et aux attaques par déni de service (DoS) sur les équipements réseau. Cet exemple décrit comment protéger le commutateur contre les attaques de serveur DHCP non autorisées.
Cet exemple montre comment configurer explicitement une interface non approuvée sur un commutateur EX3200-24P et un commutateur QFX3500. La figure 1 illustre la topologie de cet exemple.
Topologie
ports
Les composants de la topologie de cet exemple sont indiqués dans le tableau 1.
| Paramètres des propriétés | |
|---|---|
Matériel de commutation |
Un EX3200-24P, 24 ports (8 ports PoE) ou un commutateur QFX3500 |
Nom et ID du VLAN |
employé-vlan, balise 20 |
Sous-réseaux VLAN |
192.0.2.16/28 192.0.2.17 à 192.0.2.30192.0.2.31 est l'adresse de diffusion du sous-réseau |
Interfaces dans employee-vlan |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interface pour serveur DHCP |
GE-0/0/8 |
Dans cet exemple, le commutateur a déjà été configuré comme suit :
L’accès sécurisé aux ports est activé sur le commutateur.
La surveillance DHCP est activée sur le VLAN employee-vlan.
L’interface (port) sur laquelle le serveur DHCP non autorisé s’est connecté au commutateur est actuellement approuvée.
Configuration
Pour configurer l’interface du serveur DHCP comme non approuvée, car elle est utilisée par un serveur DHCP non autorisé :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour définir rapidement l’interface du serveur DHCP non fiable comme non approuvée, copiez la commande suivante et collez-la dans la fenêtre du terminal du commutateur :
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
Procédure étape par étape
Pour définir l’interface du serveur DHCP comme non approuvée :
Spécifiez l’interface (port) à partir de laquelle les réponses DHCP ne sont pas autorisées :
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
Résultats
Vérifiez les résultats de la configuration :
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification que l’interface du serveur DHCP n’est pas fiable
But
Vérifiez que le serveur DHCP n’est pas approuvé.
Action
Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur.
Affichez les informations de surveillance DHCP lorsque le port sur lequel le serveur DHCP se connecte au commutateur n’est pas approuvé.
Signification
Il n’y a pas de sortie de la commande car aucune entrée n’est ajoutée à la base de données d’écoute DHCP.