SUR CETTE PAGE
Exemple : Configuration d’IP Source Guard et de l’inspection ARP dynamique sur un domaine de pont spécifié pour protéger les périphériques contre les attaques
Cet exemple décrit comment activer la protection de la source IP et l’inspection ARP dynamique (DAI) sur un domaine de pont spécifié pour protéger l’équipement contre les usurpations d’adresses IP/MAC et les attaques par usurpation d’ARP. Lorsque vous activez IP Source Guard ou DAI, la configuration active automatiquement la surveillance DHCP pour le même domaine de pont.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un routeur MX Series
Junos OS version 14.1
Un serveur DHCP pour fournir des adresses IP aux périphériques réseau sur l’appareil
Avant de configurer IP Source Guard pour empêcher l’usurpation d’adresse IP/MAC ou DAI pour atténuer les attaques par usurpation ARP, assurez-vous d’avoir :
Connectez le serveur DHCP à l’appareil - effectué.
Configurez le domaine de pont auquel vous ajoutez des fonctionnalités de sécurité DHCP - effectué. Reportez-vous à la section Configuration du domaine de pont pour les services Cloud CPE de routeur MX Series.
Vue d’ensemble et topologie
Les périphériques LAN Ethernet sont vulnérables aux attaques de sécurité qui impliquent l’usurpation (falsification) d’adresses MAC sources ou d’adresses IP source. Ces paquets usurpés sont envoyés depuis des hôtes connectés à des interfaces d’accès non approuvées sur l’équipement. IP Source Guard vérifie l’adresse IP source et l’adresse MAC d’un paquet envoyé à partir d’un hôte connecté à une interface d’accès non approuvée sur l’équipement par rapport aux entrées stockées dans la base de données d’écoute DHCP. Si IP Source Guard détermine que l’en-tête du paquet contient une adresse IP source ou une adresse MAC source non valide, il s’assure que l’équipement ne transfère pas le paquet, c’est-à-dire que le paquet est ignoré.
Un autre type d’attaque de sécurité est l’usurpation ARP (également connue sous le nom d’empoisonnement ARP ou d’empoisonnement de cache ARP). L’usurpation ARP est un moyen de lancer des attaques de type « man-in-the-middle ». L’attaquant envoie un paquet ARP qui usurpe l’adresse MAC d’un autre périphérique sur le domaine de pont. Au lieu d’envoyer le trafic vers le périphérique réseau approprié, il l’envoie à l’appareil dont l’adresse usurpée usurpe l’identité du périphérique approprié. Si l'appareil usurpant l'identité de l'appareil est la machine de l'attaquant, celui-ci reçoit tout le trafic de l'appareil qui aurait dû aller vers un autre appareil. Par conséquent, le trafic provenant de l’appareil est mal dirigé et ne peut pas atteindre sa destination.
Lorsque DAI est activé, l’appareil enregistre le nombre de paquets ARP non valides qu’il reçoit sur chaque interface, ainsi que les adresses IP et MAC de l’expéditeur. Vous pouvez utiliser ces messages de journal pour découvrir l’usurpation ARP sur le réseau.
Cet exemple montre comment configurer ces fonctionnalités importantes de sécurité de port sur un périphérique connecté à un serveur DHCP. La configuration de cet exemple inclut le domaine employee-bdomain de pont sur l’équipement de commutation. La figure 1 illustre la topologie de cet exemple.
L’interface trunk qui se connecte à l’interface du serveur DHCP est un port approuvé par défaut.
Topologie
ports
Les composants de la topologie de cet exemple sont indiqués dans le tableau 1.
| Paramètres des propriétés | |
|---|---|
Matériel de l’appareil |
Un routeur MX Series |
Nom de domaine et ID du pont |
|
Pont de sous-réseaux de domaine |
|
Les interfaces dans |
|
Interface se connectant au serveur DHCP |
|
Dans cet exemple, l’appareil a déjà été configuré comme suit :
Tous les ports d’accès ne sont pas approuvés, ce qui est le paramètre par défaut.
Le port trunk (ge-0/0/8) est approuvé, ce qui est le paramètre par défaut.
La fonction bridge-domain(
employee-bdomain) a été configurée pour inclure les interfaces spécifiées.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement IP Source Guard et DAI (et donc configurer automatiquement la surveillance DHCP pour protéger l’appareil contre l’usurpation d’adresse IP et les attaques ARP), copiez les commandes suivantes et collez-les dans la fenêtre du terminal du périphérique :
[edit] set bridge-domains employee-bdomain forwarding-options dhcp-security ip-source-guard set bridge-domains employee-bdomain forwarding-options dhcp-security arp-inspection
Procédure étape par étape
Pour configurer IP Source Guard et DAI (et donc configurer automatiquement la surveillance DHCP) sur le domaine du pont :
Configurez IP Source Guard sur le domaine du pont :
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set ip-source-guard
Activez DAI sur le domaine de pont :
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set arp-inspection
Résultats
Vérifiez les résultats de la configuration :
user@device> show bridge-domains employee-bdomain forwarding-options
employee-bdomain {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification du bon fonctionnement de la surveillance DHCP sur l’équipement
- Vérification de l’efficacité d’IP Source Guard sur le domaine du pont
- Vérification du bon fonctionnement du DAI sur l’appareil
Vérification du bon fonctionnement de la surveillance DHCP sur l’équipement
But
Vérifiez que la surveillance DHCP fonctionne sur l’équipement.
Action
Envoyez des requêtes DHCP à partir de périphériques réseau (ici ce sont des clients DHCP) connectés à l’appareil.
Affichez les informations de surveillance DHCP lorsque le port sur lequel le serveur DHCP se connecte au périphérique est approuvé. La sortie suivante se produit lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :
user@device> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Signification
Lorsque l’interface sur laquelle le serveur DHCP se connecte au périphérique a été définie sur approuvée, la sortie (voir l’exemple précédent) affiche, pour l’adresse IP attribuée, l’adresse MAC du périphérique, le nom du VLAN et le temps, en secondes, restant avant l’expiration du bail.
Vérification de l’efficacité d’IP Source Guard sur le domaine du pont
But
Vérifiez que la protection de source IP est activée et fonctionne sur le domaine de pont.
Action
Envoyez des requêtes DHCP à partir de périphériques réseau (ici ce sont des clients DHCP) connectés à l’appareil. Affichez les informations de protection de la source IP pour le domaine du pont de données.
user@device> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Signification
La table de la base de données IP Source Guard contient les VLAN et les domaines de pont activés pour IP Source Guard.
Vérification du bon fonctionnement du DAI sur l’appareil
But
Vérifiez que DAI fonctionne sur l’appareil.
Action
Envoyez des requêtes ARP à partir des périphériques réseau connectés à l’appareil.
Affichez les informations DAI :
user@device> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Signification
L’exemple de sortie indique le nombre de paquets ARP reçus et inspectés par interface, avec une liste du nombre de paquets passés et du nombre d’échecs à l’inspection sur chaque interface. L’équipement compare les requêtes et les réponses ARP aux entrées de la base de données d’écoute DHCP. Si une adresse MAC ou une adresse IP dans le paquet ARP ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.