SUR CETTE PAGE
Exemple : protection contre les attaques de base de données DHCP de surveillance
Dans un type d’attaque sur la base de données de surveillance DHCP, un intrus introduit un client DHCP sur une interface d’accès non fiable avec une adresse MAC identique à celle d’un client sur une autre interface non fiable. L’intrus acquiert alors le bail DHCP de cet autre client, modifiant ainsi les entrées dans la table de surveillance DHCP. Par la suite, les demandes ARP valides du client légitime sont bloquées.
Cet exemple explique comment configurer des adresses MAC autorisées, une fonctionnalité de sécurité de port, pour protéger le commutateur contre les attaques d’altération de base de données DHCP :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series ou un commutateur QFX3500
Junos OS Version 11.4 ou ultérieure pour les commutateurs EX Series ou Junos OS Version 12.1 ou ultérieure pour le QFX Series
Un serveur DHCP pour fournir des adresses IP aux équipements réseau du commutateur
Avant de configurer des fonctionnalités de sécurité de port spécifiques pour atténuer les attaques courantes en surface d’accès, assurez-vous d’avoir :
Connectez le serveur DHCP au commutateur.
Configurez un VLAN sur le commutateur. Découvrez la tâche de votre plate-forme :
Présentation et topologie
Les LAN Ethernet sont vulnérables pour répondre aux attaques DoS et d’usurpage sur les équipements réseau. Cet exemple explique comment protéger le commutateur contre une attaque sur la base de données de surveillance DHCP qui modifie les adresses MAC attribuées à certains clients.
Cet exemple montre comment configurer des fonctionnalités de sécurité de port sur un commutateur connecté à un serveur DHCP.
La configuration de cet exemple inclut le VLAN employé-vlan sur le commutateur. La figure 1 illustre la topologie de cet exemple.
Topologie
de port de base
Les composants de la topologie de cet exemple sont présentés dans le tableau 1.
| Paramètres des propriétés | |
|---|---|
Matériel de commutation |
Un ex3200-24P, 24 ports (8 ports PoE) ou un commutateur QFX3500 |
Nom et ID VLAN |
employé-vlan, balise 20 |
Sous-réseaux VLAN |
192.0.2.16/28 192.0.2.17 à 192.0.2.30192.0.2.31 est l’adresse de diffusion du sous-réseau |
Interfaces dans le vlan de l’employé |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Interface pour serveur DHCP |
ge-0/0/8 |
Dans cet exemple, le commutateur a déjà été configuré comme suit :
L’accès au port sécurisé est activé sur le commutateur.
La surveillance DHCP est activée sur le VLAN employé-vlan.
Tous les ports d’accès ne sont pas fiables, c’est-à-dire le paramètre par défaut.
Configuration
Pour configurer les adresses MAC autorisées pour protéger le commutateur contre les attaques dhcp d’altération de base de données :
Procédure
Configuration rapide cli
Pour configurer rapidement certaines adresses MAC autorisées sur une interface, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Procédure étape par étape
Pour configurer certaines adresses MAC autorisées sur une interface :
Configurez les cinq adresses MAC autorisées sur une interface :
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Résultats
Vérifiez les résultats de la configuration :
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 00:05:85:3a:82:88 ];
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérifier que les adresses MAC autorisées fonctionnent correctement sur le commutateur
But
Vérifiez que les adresses MAC autorisées fonctionnent sur le commutateur.
Action
Afficher les informations du cache MAC :
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Sens
Le résultat montre que les cinq adresses MAC configurées en tant qu’adresses MAC autorisées ont été apprises et sont affichées dans le cache MAC. La dernière adresse MAC de la liste, qui n’avait pas été configurée comme autorisée, n’a pas été ajoutée à la liste des adresses apprises.