Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration d’IP Source Guard et de l’inspection ARP dynamique pour protéger le commutateur contre l’usurpation d’adresse IP et l’usurpation d’identité ARP

Note:

Cet exemple utilise Junos OS avec la prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Protection contre les attaques par usurpation ARP. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.

Note:

Sur les commutateurs EX9200, la surveillance DHCP, le DAI et IP Source Guard ne sont pas pris en charge dans un scénario MC-LAG.

Cet exemple décrit comment activer IP Source Guard et l’inspection ARP dynamique (DAI) sur un VLAN spécifié afin de protéger le commutateur contre les adresses IP/MAC usurpées et les attaques par usurpation d’ARP. Lorsque vous activez IP Source Guard ou DAI, la configuration active automatiquement la surveillance DHCP pour le même VLAN.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

Note:

Cet exemple s’applique également aux commutateurs QFX5100, QFX5110 et QFX5200.

  • Un commutateur EX4300 ou EX9200

  • Junos OS version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series

  • Un serveur DHCP pour fournir des adresses IP aux périphériques réseau sur le commutateur

Avant de configurer IP Source Guard pour empêcher l’usurpation d’adresse IP/MAC ou DAI pour atténuer les attaques par usurpation ARP, assurez-vous d’avoir :

  • Connectez le serveur DHCP au commutateur - effectué.

  • Configurez le VLAN auquel vous ajoutez des fonctionnalités de sécurité DHCP - effectué.

Vue d’ensemble et topologie

Les commutateurs LAN Ethernet sont vulnérables aux attaques de sécurité qui impliquent l’usurpation d’adresse MAC ou d’adresses IP source. Ces paquets usurpés sont envoyés depuis des hôtes connectés à des interfaces d’accès non approuvées sur le commutateur. Ces paquets usurpés sont envoyés depuis des hôtes connectés à des interfaces d’accès non approuvées sur le commutateur. IP Source Guard vérifie l’adresse IP source et l’adresse MAC d’un paquet envoyé à partir d’un hôte connecté à une interface d’accès non fiable sur le commutateur par rapport aux entrées stockées dans la base de données d’écoute DHCP. Si IP Source Guard détermine que l’en-tête du paquet contient une adresse IP source ou une adresse MAC source non valide, il s’assure que le commutateur ne transfère pas le paquet, c’est-à-dire que le paquet est ignoré.

Un autre type d’attaque de sécurité est l’usurpation ARP (également connue sous le nom d’empoisonnement ARP ou d’empoisonnement de cache ARP). L’usurpation d’ARP est un moyen de lancer des attaques de type « man-in-the-middle ». L’attaquant envoie un paquet ARP qui usurpe l’adresse MAC d’un autre périphérique sur le réseau local. Au lieu d’envoyer le trafic vers le périphérique réseau approprié, le commutateur l’envoie à l’appareil dont l’adresse usurpée usurpe l’identité du périphérique approprié. Si l'appareil usurpant l'identité de l'attaquant est la machine de l'attaquant, celui-ci reçoit tout le trafic du commutateur qui aurait dû être acheminé vers un autre équipement. Par conséquent, le trafic provenant du commutateur est mal dirigé et n’arrive pas à destination.

Note:

Lorsque l’inspection ARP dynamique (DAI) est activée, le commutateur consigne le nombre de paquets ARP non valides qu’il reçoit sur chaque interface, ainsi que les adresses IP et MAC de l’expéditeur. Vous pouvez utiliser ces messages de journal pour découvrir l’usurpation ARP sur le réseau.

Cet exemple montre comment configurer ces fonctionnalités importantes de sécurité de port sur un commutateur connecté à un serveur DHCP. Dans cet exemple, la configuration inclut le VLAN employee-vlan du commutateur. La figure 1 illustre la topologie de cet exemple.

Note:

L’interface trunk qui se connecte à l’interface du serveur DHCP est un port approuvé par défaut. Si vous attachez un serveur DHCP à un port d’accès, vous devez configurer le port comme étant approuvé. Avant de le faire, assurez-vous que le serveur est physiquement sécurisé, c’est-à-dire que l’accès au serveur est surveillé et contrôlé. Pour plus d’informations sur les ports approuvés et non approuvés pour DHCP, reportez-vous à la section Présentation et utilisation des serveurs DHCP approuvés.

Topologie

Figure 1 : topologie du réseau pour la sécurité de base des Network Topology for Basic Port Security ports

Les composants de la topologie de cet exemple sont indiqués dans le tableau 1.

Tableau 1 : composants de la topologie de sécurité des ports
Paramètres des propriétés

Matériel de commutation

Un commutateur EX4300 ou EX9200

Nom et ID du VLAN

employee-vlanétiquette 20

Sous-réseaux VLAN

192.0.2.16/28192.0.2.17 par 192.0.2.30192.0.2.31 est l'adresse de diffusion du sous-réseau

Les interfaces dans employee-vlan

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

Interface se connectant au serveur DHCP

ge-0/0/8

Dans cet exemple, le commutateur a déjà été configuré comme suit :

  • Tous les ports d’accès ne sont pas approuvés, ce qui est le paramètre par défaut.

  • Le port trunk (ge-0/0/8) est approuvé, ce qui est le paramètre par défaut.

  • Le VLAN (employee-vlan) a été configuré pour inclure les interfaces spécifiées.

Configuration

Pour configurer IP Source Guard et DAI (et donc configurer automatiquement la surveillance DHCP) afin de protéger le commutateur contre l’usurpation d’adresse IP et les attaques ARP :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement IP Source Guard et DAI (et donc configurer automatiquement la surveillance DHCP), copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Configurez IP Source Guard et DAI (et configurez ainsi automatiquement la surveillance DHCP) sur le VLAN :

  1. Configurez IP Source Guard sur le VLAN :

  2. Activer le DAI sur le VLAN :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur

But

Vérifiez que la surveillance DHCP fonctionne sur le commutateur.

Action

Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur.

Affiche les informations de surveillance DHCP lorsque le port sur lequel le serveur DHCP se connecte au commutateur est approuvé. La sortie suivante se produit lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :

Signification

Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie sur approuvée, la sortie (voir l’exemple précédent) affiche, pour l’adresse IP attribuée, l’adresse MAC du périphérique, le nom du VLAN et le temps, en secondes, restant avant l’expiration du bail.

Vérification de l’efficacité d’IP Source Guard sur le VLAN

But

Vérifiez que la protection de la source IP est activée et fonctionne sur le VLAN.

Action

Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur. Affichez les informations de protection de la source IP pour le VLAN de données.

Signification

La table de la base de données IP Source Guard contient les VLAN activés pour IP Source Guard.

Vérification du bon fonctionnement du DAI sur le commutateur

But

Vérifiez que le DAI fonctionne sur le commutateur.

Action

Envoyez des requêtes ARP à partir des périphériques réseau connectés au commutateur.

Affichez les informations DAI :

Signification

L’exemple de sortie indique le nombre de paquets ARP reçus et inspectés par interface, avec une liste du nombre de paquets passés et du nombre d’échecs à l’inspection sur chaque interface. Le commutateur compare les requêtes et les réponses ARP aux entrées de la base de données d’écoute DHCP. Si une adresse MAC ou une adresse IP dans le paquet ARP ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.