Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : configuration d’IP Source Guard et de l’inspection ARP dynamique pour protéger le commutateur contre l’usurpation IP et l’usurpation ARP

Note:

Cet exemple utilise Junos OS avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à l’exemple : Protection contre les attaques par usurpation d’accès ARP. Pour plus de détails sur ELS, reportez-vous à l’interface CLI du logiciel de couche 2 améliorée.

Note:

Sur les commutateurs EX9200, la surveillance DHCP, le DAI et la protection des sources IP ne sont pas pris en charge dans un scénario MC-LAG.

Cet exemple décrit comment activer IP source guard et Dynamic ARP Inspection (DAI) sur un VLAN spécifié afin de protéger le commutateur contre les adresses IP/MAC usurpées et les attaques par mystification ARP. Lorsque vous activez IP source guard ou DAI, la configuration active automatiquement la surveillance DHCP pour le même VLAN.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

Note:

Cet exemple s’applique également aux commutateurs QFX5100, QFX5110 et QFX5200.

  • Un commutateur EX4300 ou EX9200

  • Junos OS Version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series

  • Un serveur DHCP pour fournir des adresses IP aux équipements réseau du commutateur

Avant de configurer IP source guard pour empêcher l’usurpation IP/MAC ou DAI pour atténuer les attaques d’usurpation ARP, assurez-vous que vous disposez des éléments suivants :

  • Connecté le serveur DHCP au commutateur.

  • Configuration du VLAN auquel vous ajoutez des fonctionnalités de sécurité DHCP.

Présentation et topologie

Les commutateurs LAN Ethernet sont exposés à des attaques de sécurité qui impliquent l’usurpation (forging) d’adresses MAC source ou d’adresses IP source. Ces paquets usurpés sont envoyés par des hôtes connectés à des interfaces d’accès non fiables sur le commutateur. Ces paquets usurpés sont envoyés par des hôtes connectés à des interfaces d’accès non fiables sur le commutateur. IP source guard vérifie l’adresse source IP et l’adresse source MAC dans un paquet envoyé par un hôte attaché à une interface d’accès non fiable sur le commutateur par rapport aux entrées stockées dans la base de données de surveillance DHCP. Si IP Source Guard détermine que l’en-tête du paquet contient une adresse IP source ou une adresse MAC source non valide, il s’assure que le commutateur ne transfère pas le paquet, c’est-à-dire qu’il est jeté.

Un autre type d’attaque de sécurité est l’usurpation ARP (également appelée empoisonnement ARP ou empoisonnement de cache ARP). L’usurpation ARP est un moyen d’initier des attaques de l’homme du milieu. L’attaquant envoie un paquet ARP usurpant l’adresse MAC d’un autre équipement du réseau local. Au lieu d’envoyer du trafic vers l’équipement réseau approprié, le commutateur l’envoie à l’équipement avec l’adresse usurpée qui usurpe l’identité du bon équipement. Si l’équipement usurpant l’identité de l’attaquant est la machine de l’attaquant, celui-ci reçoit tout le trafic provenant du commutateur qui aurait dû se rendre sur un autre équipement. Résultat : le trafic provenant du commutateur est mal acheminé et ne peut pas atteindre sa destination.

Note:

Lorsque l’inspection ARP dynamique (DAI) est activée, le commutateur consigne le nombre de paquets ARP non valides qu’il reçoit sur chaque interface, ainsi que les adresses IP et MAC de l’expéditeur. Vous pouvez utiliser ces messages de journalisation pour découvrir l’usurpation ARP sur le réseau.

Cet exemple montre comment configurer ces fonctionnalités de sécurité de port importantes sur un commutateur connecté à un serveur DHCP. La configuration de cet exemple inclut le VLAN employee-vlan sur le commutateur. La figure 1 illustre la topologie de cet exemple.

Note:

L’interface d’agrégation qui se connecte à l’interface du serveur DHCP est un port approuvé par défaut. Si vous fixez un serveur DHCP à un port d’accès, vous devez le configurer comme étant approuvé. Avant de le faire, assurez-vous que le serveur est physiquement sécurisé, c’est-à-dire que l’accès au serveur est surveillé et contrôlé. Pour plus d’informations sur les ports DHCP fiables et non sécurisés, consultez Understanding and Using Trusted DHCP Servers.

Topologie

Figure 1 : Topologie du réseau pour la sécurité Network Topology for Basic Port Security des ports de base

Les composants de la topologie de cet exemple sont illustrés dans le tableau 1.

Tableau 1 : Composants de la topologie de sécurité des ports
Paramètres des propriétés

Matériel de commutation

Un commutateur EX4300 ou EX9200

Nom et ID du VLAN

employee-vlanétiquette 20

Sous-réseaux VLAN

192.0.2.16/28192.0.2.17 Par 192.0.2.30192.0.2.31 est l’adresse de diffusion du sous-réseau

Interfaces dans employee-vlan

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

Interface se connectant au serveur DHCP

ge-0/0/8

Dans cet exemple, le commutateur a déjà été configuré comme suit :

  • Tous les ports d’accès ne sont pas fiables, c’est-à-dire le paramètre par défaut.

  • Le port d’agrégation (ge-0/0/8) est approuvé, c’est-à-dire le paramètre par défaut.

  • Le VLAN (employee-vlan) a été configuré pour inclure les interfaces spécifiées.

Configuration

Pour configurer IP source guard et DAI (et par conséquent, configurer automatiquement la surveillance DHCP) afin de protéger le commutateur contre l’usurpation IP et les attaques ARP :

Procédure

Configuration rapide CLI

Pour configurer rapidement IP source guard et DAI (et par conséquent, configurer automatiquement la surveillance DHCP), copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :

Procédure étape par étape

Configurez IP source guard et DAI (et par conséquent, configurez également automatiquement la surveillance DHCP) sur le VLAN :

  1. Configurez IP source guard sur le VLAN :

  2. Activer la technologie DAI sur le VLAN :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur

But

Vérifiez que la surveillance DHCP fonctionne sur le commutateur.

Action

Envoyez des requêtes DHCP à partir d’équipements réseau (ici, ce sont des clients DHCP) connectés au commutateur.

Affichez les informations de surveillance DHCP lorsque le port sur lequel le serveur DHCP se connecte au commutateur est approuvé. Les résultats de sortie suivants lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :

Sens

Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie comme étant approuvée, la sortie (voir l’exemple précédent) affiche, pour l’adresse IP attribuée, l’adresse MAC de l’équipement, le nom du VLAN et l’heure, en quelques secondes, restant avant l’expiration du bail.

Vérification du fonctionnement de IP Source Guard sur le VLAN

But

Vérifiez que ip source guard est activé et fonctionne sur le VLAN.

Action

Envoyez des requêtes DHCP à partir d’équipements réseau (ici, ce sont des clients DHCP) connectés au commutateur. Afficher les informations de la source IP guard pour le VLAN de données.

Sens

La table de base de données IP source guard contient les VLAN activés pour IP source Guard.

Vérifier que l’IA fonctionne correctement sur le commutateur

But

Vérifiez que l’IA fonctionne sur le commutateur.

Action

Envoyez des requêtes ARP à partir d’équipements réseau connectés au commutateur.

Afficher les informations DAI :

Sens

L’exemple de sortie indique le nombre de paquets ARP reçus et inspectés par interface, avec une liste du nombre de paquets passés et du nombre d’échecs de l’inspection sur chaque interface. Le commutateur compare les requêtes ARP et répond par rapport aux entrées de la base de données de surveillance DHCP. Si une adresse MAC ou une adresse IP dans le paquet ARP ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.