SUR CETTE PAGE
Exemple : configuration d’IP Source Guard et de l’inspection ARP dynamique pour protéger le commutateur contre l’usurpation IP et l’usurpation ARP
Cet exemple utilise Junos OS avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à l’exemple : Protection contre les attaques par usurpation d’accès ARP. Pour plus de détails sur ELS, reportez-vous à l’interface CLI du logiciel de couche 2 améliorée.
Sur les commutateurs EX9200, la surveillance DHCP, le DAI et la protection des sources IP ne sont pas pris en charge dans un scénario MC-LAG.
Cet exemple décrit comment activer IP source guard et Dynamic ARP Inspection (DAI) sur un VLAN spécifié afin de protéger le commutateur contre les adresses IP/MAC usurpées et les attaques par mystification ARP. Lorsque vous activez IP source guard ou DAI, la configuration active automatiquement la surveillance DHCP pour le même VLAN.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Cet exemple s’applique également aux commutateurs QFX5100, QFX5110 et QFX5200.
Un commutateur EX4300 ou EX9200
Junos OS Version 13.2X50-D10 ou ultérieure pour les commutateurs EX Series
Un serveur DHCP pour fournir des adresses IP aux équipements réseau du commutateur
Avant de configurer IP source guard pour empêcher l’usurpation IP/MAC ou DAI pour atténuer les attaques d’usurpation ARP, assurez-vous que vous disposez des éléments suivants :
Connecté le serveur DHCP au commutateur.
Configuration du VLAN auquel vous ajoutez des fonctionnalités de sécurité DHCP.
Présentation et topologie
Les commutateurs LAN Ethernet sont exposés à des attaques de sécurité qui impliquent l’usurpation (forging) d’adresses MAC source ou d’adresses IP source. Ces paquets usurpés sont envoyés par des hôtes connectés à des interfaces d’accès non fiables sur le commutateur. Ces paquets usurpés sont envoyés par des hôtes connectés à des interfaces d’accès non fiables sur le commutateur. IP source guard vérifie l’adresse source IP et l’adresse source MAC dans un paquet envoyé par un hôte attaché à une interface d’accès non fiable sur le commutateur par rapport aux entrées stockées dans la base de données de surveillance DHCP. Si IP Source Guard détermine que l’en-tête du paquet contient une adresse IP source ou une adresse MAC source non valide, il s’assure que le commutateur ne transfère pas le paquet, c’est-à-dire qu’il est jeté.
Un autre type d’attaque de sécurité est l’usurpation ARP (également appelée empoisonnement ARP ou empoisonnement de cache ARP). L’usurpation ARP est un moyen d’initier des attaques de l’homme du milieu. L’attaquant envoie un paquet ARP usurpant l’adresse MAC d’un autre équipement du réseau local. Au lieu d’envoyer du trafic vers l’équipement réseau approprié, le commutateur l’envoie à l’équipement avec l’adresse usurpée qui usurpe l’identité du bon équipement. Si l’équipement usurpant l’identité de l’attaquant est la machine de l’attaquant, celui-ci reçoit tout le trafic provenant du commutateur qui aurait dû se rendre sur un autre équipement. Résultat : le trafic provenant du commutateur est mal acheminé et ne peut pas atteindre sa destination.
Lorsque l’inspection ARP dynamique (DAI) est activée, le commutateur consigne le nombre de paquets ARP non valides qu’il reçoit sur chaque interface, ainsi que les adresses IP et MAC de l’expéditeur. Vous pouvez utiliser ces messages de journalisation pour découvrir l’usurpation ARP sur le réseau.
Cet exemple montre comment configurer ces fonctionnalités de sécurité de port importantes sur un commutateur connecté à un serveur DHCP. La configuration de cet exemple inclut le VLAN employee-vlan sur le commutateur. La figure 1 illustre la topologie de cet exemple.
L’interface d’agrégation qui se connecte à l’interface du serveur DHCP est un port approuvé par défaut. Si vous fixez un serveur DHCP à un port d’accès, vous devez le configurer comme étant approuvé. Avant de le faire, assurez-vous que le serveur est physiquement sécurisé, c’est-à-dire que l’accès au serveur est surveillé et contrôlé. Pour plus d’informations sur les ports DHCP fiables et non sécurisés, consultez Understanding and Using Trusted DHCP Servers.
Topologie
des ports de base
Les composants de la topologie de cet exemple sont illustrés dans le tableau 1.
| Paramètres des propriétés | |
|---|---|
Matériel de commutation |
Un commutateur EX4300 ou EX9200 |
Nom et ID du VLAN |
|
|
|
Sous-réseaux VLAN |
|
Interfaces dans |
|
Interface se connectant au serveur DHCP |
|
Dans cet exemple, le commutateur a déjà été configuré comme suit :
Tous les ports d’accès ne sont pas fiables, c’est-à-dire le paramètre par défaut.
Le port d’agrégation (
ge-0/0/8) est approuvé, c’est-à-dire le paramètre par défaut.Le VLAN (
employee-vlan) a été configuré pour inclure les interfaces spécifiées.
Configuration
Pour configurer IP source guard et DAI (et par conséquent, configurer automatiquement la surveillance DHCP) afin de protéger le commutateur contre l’usurpation IP et les attaques ARP :
Procédure
Configuration rapide CLI
Pour configurer rapidement IP source guard et DAI (et par conséquent, configurer automatiquement la surveillance DHCP), copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :
[edit] set vlans employee-vlan forwarding-options dhcp-security ip-source-guard set vlans employee-vlan forwarding-options dhcp-security arp-inspection
Procédure étape par étape
Configurez IP source guard et DAI (et par conséquent, configurez également automatiquement la surveillance DHCP) sur le VLAN :
Configurez IP source guard sur le VLAN :
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set ip-source-guard
Activer la technologie DAI sur le VLAN :
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set arp-inspection
Résultats
Vérifiez les résultats de la configuration :
user@switch> show vlans employee-vlan forwarding-options
employee-vlan {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur
- Vérification du fonctionnement de IP Source Guard sur le VLAN
- Vérifier que l’IA fonctionne correctement sur le commutateur
Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur
But
Vérifiez que la surveillance DHCP fonctionne sur le commutateur.
Action
Envoyez des requêtes DHCP à partir d’équipements réseau (ici, ce sont des clients DHCP) connectés au commutateur.
Affichez les informations de surveillance DHCP lorsque le port sur lequel le serveur DHCP se connecte au commutateur est approuvé. Les résultats de sortie suivants lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :
user@switch> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Sens
Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie comme étant approuvée, la sortie (voir l’exemple précédent) affiche, pour l’adresse IP attribuée, l’adresse MAC de l’équipement, le nom du VLAN et l’heure, en quelques secondes, restant avant l’expiration du bail.
Vérification du fonctionnement de IP Source Guard sur le VLAN
But
Vérifiez que ip source guard est activé et fonctionne sur le VLAN.
Action
Envoyez des requêtes DHCP à partir d’équipements réseau (ici, ce sont des clients DHCP) connectés au commutateur. Afficher les informations de la source IP guard pour le VLAN de données.
user@switch> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Sens
La table de base de données IP source guard contient les VLAN activés pour IP source Guard.
Vérifier que l’IA fonctionne correctement sur le commutateur
But
Vérifiez que l’IA fonctionne sur le commutateur.
Action
Envoyez des requêtes ARP à partir d’équipements réseau connectés au commutateur.
Afficher les informations DAI :
user@switch> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Sens
L’exemple de sortie indique le nombre de paquets ARP reçus et inspectés par interface, avec une liste du nombre de paquets passés et du nombre d’échecs de l’inspection sur chaque interface. Le commutateur compare les requêtes ARP et répond par rapport aux entrées de la base de données de surveillance DHCP. Si une adresse MAC ou une adresse IP dans le paquet ARP ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.