SUR CETTE PAGE
Exemple : Configuration d’IP Source Guard et de l’inspection ARP dynamique pour protéger le commutateur contre l’usurpation d’adresse IP et l’usurpation d’identité ARP
Cet exemple utilise Junos OS avec la prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Protection contre les attaques par usurpation ARP. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Sur les commutateurs EX9200, la surveillance DHCP, le DAI et IP Source Guard ne sont pas pris en charge dans un scénario MC-LAG.
Cet exemple décrit comment activer IP Source Guard et l’inspection ARP dynamique (DAI) sur un VLAN spécifié afin de protéger le commutateur contre les adresses IP/MAC usurpées et les attaques par usurpation d’ARP. Lorsque vous activez IP Source Guard ou DAI, la configuration active automatiquement la surveillance DHCP pour le même VLAN.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Cet exemple s’applique également aux commutateurs QFX5100, QFX5110 et QFX5200.
Un commutateur EX4300 ou EX9200
Junos OS version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series
Un serveur DHCP pour fournir des adresses IP aux périphériques réseau sur le commutateur
Avant de configurer IP Source Guard pour empêcher l’usurpation d’adresse IP/MAC ou DAI pour atténuer les attaques par usurpation ARP, assurez-vous d’avoir :
Connectez le serveur DHCP au commutateur - effectué.
Configurez le VLAN auquel vous ajoutez des fonctionnalités de sécurité DHCP - effectué.
Vue d’ensemble et topologie
Les commutateurs LAN Ethernet sont vulnérables aux attaques de sécurité qui impliquent l’usurpation d’adresse MAC ou d’adresses IP source. Ces paquets usurpés sont envoyés depuis des hôtes connectés à des interfaces d’accès non approuvées sur le commutateur. Ces paquets usurpés sont envoyés depuis des hôtes connectés à des interfaces d’accès non approuvées sur le commutateur. IP Source Guard vérifie l’adresse IP source et l’adresse MAC d’un paquet envoyé à partir d’un hôte connecté à une interface d’accès non fiable sur le commutateur par rapport aux entrées stockées dans la base de données d’écoute DHCP. Si IP Source Guard détermine que l’en-tête du paquet contient une adresse IP source ou une adresse MAC source non valide, il s’assure que le commutateur ne transfère pas le paquet, c’est-à-dire que le paquet est ignoré.
Un autre type d’attaque de sécurité est l’usurpation ARP (également connue sous le nom d’empoisonnement ARP ou d’empoisonnement de cache ARP). L’usurpation d’ARP est un moyen de lancer des attaques de type « man-in-the-middle ». L’attaquant envoie un paquet ARP qui usurpe l’adresse MAC d’un autre périphérique sur le réseau local. Au lieu d’envoyer le trafic vers le périphérique réseau approprié, le commutateur l’envoie à l’appareil dont l’adresse usurpée usurpe l’identité du périphérique approprié. Si l'appareil usurpant l'identité de l'attaquant est la machine de l'attaquant, celui-ci reçoit tout le trafic du commutateur qui aurait dû être acheminé vers un autre équipement. Par conséquent, le trafic provenant du commutateur est mal dirigé et n’arrive pas à destination.
Lorsque l’inspection ARP dynamique (DAI) est activée, le commutateur consigne le nombre de paquets ARP non valides qu’il reçoit sur chaque interface, ainsi que les adresses IP et MAC de l’expéditeur. Vous pouvez utiliser ces messages de journal pour découvrir l’usurpation ARP sur le réseau.
Cet exemple montre comment configurer ces fonctionnalités importantes de sécurité de port sur un commutateur connecté à un serveur DHCP. Dans cet exemple, la configuration inclut le VLAN employee-vlan du commutateur. La figure 1 illustre la topologie de cet exemple.
L’interface trunk qui se connecte à l’interface du serveur DHCP est un port approuvé par défaut. Si vous attachez un serveur DHCP à un port d’accès, vous devez configurer le port comme étant approuvé. Avant de le faire, assurez-vous que le serveur est physiquement sécurisé, c’est-à-dire que l’accès au serveur est surveillé et contrôlé. Pour plus d’informations sur les ports approuvés et non approuvés pour DHCP, reportez-vous à la section Présentation et utilisation des serveurs DHCP approuvés.
Topologie
ports
Les composants de la topologie de cet exemple sont indiqués dans le tableau 1.
| Paramètres des propriétés | |
|---|---|
Matériel de commutation |
Un commutateur EX4300 ou EX9200 |
Nom et ID du VLAN |
|
|
|
Sous-réseaux VLAN |
|
Les interfaces dans |
|
Interface se connectant au serveur DHCP |
|
Dans cet exemple, le commutateur a déjà été configuré comme suit :
Tous les ports d’accès ne sont pas approuvés, ce qui est le paramètre par défaut.
Le port trunk (
ge-0/0/8) est approuvé, ce qui est le paramètre par défaut.Le VLAN (
employee-vlan) a été configuré pour inclure les interfaces spécifiées.
Configuration
Pour configurer IP Source Guard et DAI (et donc configurer automatiquement la surveillance DHCP) afin de protéger le commutateur contre l’usurpation d’adresse IP et les attaques ARP :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement IP Source Guard et DAI (et donc configurer automatiquement la surveillance DHCP), copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans employee-vlan forwarding-options dhcp-security ip-source-guard set vlans employee-vlan forwarding-options dhcp-security arp-inspection
Procédure étape par étape
Configurez IP Source Guard et DAI (et configurez ainsi automatiquement la surveillance DHCP) sur le VLAN :
Configurez IP Source Guard sur le VLAN :
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set ip-source-guard
Activer le DAI sur le VLAN :
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set arp-inspection
Résultats
Vérifiez les résultats de la configuration :
user@switch> show vlans employee-vlan forwarding-options
employee-vlan {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur
- Vérification de l’efficacité d’IP Source Guard sur le VLAN
- Vérification du bon fonctionnement du DAI sur le commutateur
Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur
But
Vérifiez que la surveillance DHCP fonctionne sur le commutateur.
Action
Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur.
Affiche les informations de surveillance DHCP lorsque le port sur lequel le serveur DHCP se connecte au commutateur est approuvé. La sortie suivante se produit lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :
user@switch> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Signification
Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie sur approuvée, la sortie (voir l’exemple précédent) affiche, pour l’adresse IP attribuée, l’adresse MAC du périphérique, le nom du VLAN et le temps, en secondes, restant avant l’expiration du bail.
Vérification de l’efficacité d’IP Source Guard sur le VLAN
But
Vérifiez que la protection de la source IP est activée et fonctionne sur le VLAN.
Action
Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur. Affichez les informations de protection de la source IP pour le VLAN de données.
user@switch> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Signification
La table de la base de données IP Source Guard contient les VLAN activés pour IP Source Guard.
Vérification du bon fonctionnement du DAI sur le commutateur
But
Vérifiez que le DAI fonctionne sur le commutateur.
Action
Envoyez des requêtes ARP à partir des périphériques réseau connectés au commutateur.
Affichez les informations DAI :
user@switch> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Signification
L’exemple de sortie indique le nombre de paquets ARP reçus et inspectés par interface, avec une liste du nombre de paquets passés et du nombre d’échecs à l’inspection sur chaque interface. Le commutateur compare les requêtes et les réponses ARP aux entrées de la base de données d’écoute DHCP. Si une adresse MAC ou une adresse IP dans le paquet ARP ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.