Exemple : Protection contre l’usurpation d’adresse et les attaques par déni de service (DoS) de couche 2
Vous pouvez configurer la surveillance DHCP, l’inspection ARP dynamique (DAI) et la limitation MAC sur les interfaces d’accès d’un commutateur pour protéger le commutateur et le réseau local Ethernet contre l’usurpation d’adresse et les attaques par déni de service (DoS) de couche 2. Pour obtenir les paramètres de base de ces fonctionnalités, vous pouvez utiliser la configuration par défaut du commutateur pour la sécurité des ports, configurer la limite MAC et activer la surveillance DHCP et le DAI sur un VLAN. Vous pouvez configurer ces fonctionnalités lorsque le serveur DHCP est connecté à un commutateur différent de celui auquel les clients DHCP (périphériques réseau) sont connectés.
Cet exemple décrit comment configurer les fonctionnalités de sécurité de port sur un commutateur dont les hôtes obtiennent des adresses IP et des durées de bail à partir d’un serveur DHCP connecté à un deuxième commutateur :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series ou un commutateur QFX3500 : commutateur 1 dans cet exemple.
Commutateur EX Series ou commutateur QFX3500 supplémentaire : commutateur 2 dans cet exemple. Vous ne configurez pas la sécurité des ports sur ce deuxième commutateur.
Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series ou Junos OS version 12.1 ou ultérieure pour les commutateurs QFX Series.
Un serveur DHCP connecté au commutateur 2. Le serveur vous permet de fournir des adresses IP aux périphériques réseau connectés au commutateur 1.
Au moins deux périphériques réseau (hôtes) que vous connectez accèdent aux interfaces du commutateur 1. Ces équipements sont des clients DHCP.
Avant de configurer les fonctionnalités de surveillance DHCP, de DAI et de limitation MAC des ports de sécurité, assurez-vous d’avoir :
Connectez le serveur DHCP au commutateur 2 - effectué.
Configuration d’un VLAN sur le commutateur 1 - effectué. Voir la tâche pour votre plate-forme :
Vue d’ensemble et topologie
Les réseaux locaux Ethernet sont vulnérables à l’usurpation d’adresse et aux attaques par déni de service (DoS) sur les équipements réseau. Pour protéger les appareils contre de telles attaques, vous pouvez configurer :
Surveillance DHCP pour valider les messages du serveur DHCP
DAI pour se protéger contre l’usurpation d’ARP
Limitation MAC pour limiter le nombre d’adresses MAC que le commutateur ajoute à son cache d’adresses MAC
Cet exemple montre comment configurer ces fonctionnalités de sécurité de port sur le commutateur 1. Le commutateur 1 est connecté à un autre commutateur (commutateur 2), qui n’est pas configuré avec les fonctions de sécurité de port. Le commutateur 2 est connecté à un serveur DHCP (voir Figure 1). Les périphériques réseau (hôtes) connectés au commutateur 1 envoient des demandes d’adresses IP (ces périphériques réseau sont des clients DHCP). Ces requêtes sont transmises du commutateur 1 au commutateur 2, puis au serveur DHCP connecté au commutateur 2. Les réponses aux demandes sont transmises en sens inverse de celui suivi par les demandes.
La configuration de cet exemple inclut le VLAN employee-vlan sur les deux commutateurs.
La figure 1 illustre la topologie du réseau.
Topologie
Les composants de la topologie de cet exemple sont indiqués dans le tableau 1.
| Paramètres des propriétés | |
|---|---|
Matériel de commutation |
Un commutateur EX Series ou un commutateur QFX3500 (commutateur 1) et un commutateur EX Series ou un commutateur QFX3500 supplémentaire (commutateur 2) |
Nom et ID du VLAN |
|
Sous-réseaux VLAN |
|
Interface trunk sur les deux commutateurs |
GE-0/0/11 |
Interfaces d’accès sur le commutateur 1 |
GE-0/0/1, GE-0/0/2 et GE-0/0/3 |
Interface d’accès sur le commutateur 2 |
GE-0/0/1 |
Interface pour serveur DHCP |
ge-0/0/1 sur le commutateur 2 |
Le commutateur 1 est initialement configuré avec la configuration de sécurité de port par défaut. Dans la configuration par défaut du commutateur :
L’accès sécurisé aux ports est activé sur le commutateur.
Le commutateur ne perd aucun paquet, ce qui est le paramètre par défaut.
La surveillance DHCP et le DAI sont désactivés sur tous les VLAN.
Toutes les interfaces d’accès ne sont pas fiables et les interfaces de jonction sont approuvées ; Il s’agit des paramètres par défaut.
Dans les tâches de configuration de cet exemple, vous configurez un VLAN sur les deux commutateurs.
En plus de configurer le VLAN, vous activez la surveillance DHCP sur le commutateur 1. Dans cet exemple, vous activez également le DAI et une limite MAC de 5 sur le commutateur 1.
Étant donné que l’interface qui relie le commutateur 2 au commutateur 1 est une interface trunk, vous n’avez pas besoin de configurer cette interface pour qu’elle soit approuvée. Comme indiqué ci-dessus, les interfaces trunk sont automatiquement approuvées, de sorte que les messages DHCP provenant du serveur DHCP vers le commutateur 2, puis vers le commutateur 1 sont approuvés.
Configuration d’un VLAN, d’interfaces et de fonctionnalités de sécurité de port sur le commutateur 1
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un VLAN, des interfaces et des fonctionnalités de sécurité de port, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set ethernet-switching-options secure-access-port interface ge-0/0/1 mac-limit 5 action drop set ethernet-switching-options secure-access-port vlan employee-vlan arp-inspection set ethernet-switching-options secure-access-port vlan employee-vlan examine-dhcp clear ethernet-switching table interface ge-0/0/1
Procédure étape par étape
Pour configurer la limitation MAC, un VLAN et des interfaces sur le commutateur 1 et activer DAI et DHCP sur le VLAN :
Configurez le VLAN
employee-vlanavec l’ID20VLAN :[edit vlans] user@switch1# set employee-vlan vlan-id 20
Configurez une interface sur le commutateur 1 en tant qu’interface trunk :
[edit interfaces] user@switch1# set ge-0/0/11 unit 0 family ethernet-switching port-mode trunk
Associez le VLAN aux interfaces ge-0/0/1, ge-0/0/2, ge-0/0/3 et ge-0/0/11 :
[edit interfaces] user@switch1# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/2 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/3 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
Activez la surveillance DHCP sur le VLAN :
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan examine-dhcp
Activer le DAI sur le VLAN :
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan arp-inspection
Configurez une limite MAC sur
5ge-0/0/1 et utilisez l’action par défaut,drop(les paquets avec de nouvelles adresses sont abandonnés si la limite est dépassée) :[edit ethernet-switching-options secure-access-port] user@switch1# set interface ge-0/0/1 mac-limit 5 drop
Effacez les entrées existantes de la table d’adresse MAC de l’interface ge-0/0/1 :
user@switch1# clear ethernet-switching table interface ge-0/0/1
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch1# show
ethernet-switching-options {
secure-access-port {
interface ge-0/0/1.0{
mac-limit 5 action drop;
}
vlan employee-vlan {
arp-inspection;
examine-dhcp;
}
}
}
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
port-mode trunk;
members 20;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members 20;
}
}
}
}
}
vlans {
employee-vlan {
vlan-id 20;
}
}
Configuration d’un VLAN et d’interfaces sur le commutateur 2
Pour configurer le VLAN et les interfaces sur le commutateur 2 :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement le VLAN et les interfaces sur le commutateur 2, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20
Procédure étape par étape
Pour configurer le VLAN et les interfaces sur le commutateur 2 :
Configurez le VLAN
employee-vlanavec l’ID20VLAN :[edit vlans] user@switch1# set employee-vlan vlan-id 20
Configurez une interface sur le commutateur 2 en tant qu’interface trunk :
[edit interfaces] user@switch2# set ge-0/0/11 unit 0 ethernet-switching port-mode trunk
Associez le VLAN aux interfaces ge-0/0/1 et ge-0/0/11 :
[edit interfaces] user@switch2# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch2# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch2# show
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members 20;
}
}
}
}
}
vlans {
employee-vlan {
vlan-id 20;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement.
- Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur 1
- Vérification du bon fonctionnement du DAI sur le commutateur 1
- Vérification du bon fonctionnement de la limitation MAC sur le commutateur 1
Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur 1
But
Vérifiez que la surveillance DHCP fonctionne sur le commutateur 1.
Action
Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur.
exécutez la commande show dhcp snooping binding Operational Mode pour afficher les informations de surveillance DHCP lorsque l’interface par laquelle le commutateur 2 envoie les réponses du serveur DHCP aux clients connectés au commutateur 1 est approuvée. Le serveur a fourni les adresses IP et loue :
user@switch1> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:90 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:91 192.0.2.21 1230 dynamic employee—vlan ge-0/0/3.0
Signification
La sortie affiche, pour chaque adresse MAC, l’adresse IP attribuée et la durée du bail, c’est-à-dire le temps, en secondes, restant avant l’expiration du bail.
Vérification du bon fonctionnement du DAI sur le commutateur 1
But
Vérifiez que le DAI fonctionne sur le commutateur 1.
Action
Envoyez des requêtes ARP à partir des périphériques réseau connectés au commutateur.
Exécutez la commande show arp inspection statistics de mode opérationnel pour afficher les informations DAI :
user@switch1> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ---------- –-------------–- ------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 18 15 3
Signification
La sortie indique le nombre de paquets ARP reçus et inspectés par interface, avec une liste du nombre de paquets passés et du nombre d’échecs à l’inspection sur chaque interface. Le commutateur compare les requêtes et les réponses ARP aux entrées de la base de données d’écoute DHCP. Si une adresse MAC ou une adresse IP dans le paquet ARP ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.
Vérification du bon fonctionnement de la limitation MAC sur le commutateur 1
But
Vérifiez que la limitation MAC fonctionne sur le commutateur 1.
Action
Exécutez la commande show ethernet-switching table en mode opérationnel pour afficher les adresses MAC apprises lorsque des requêtes DHCP sont envoyées à partir d’hôtes sur ge-0/0/1 :
user@switch1> show ethernet-switching table
Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/1.0 employee-vlan * Flood - ge-0/0/1.0
Signification
La sortie montre que cinq adresses MAC ont été apprises pour l’interface ge-0/0/1, ce qui correspond à la limite MAC définie 5 dans la configuration. La dernière ligne de la sortie indique qu’une sixième demande d’adresse MAC a été abandonnée, comme indiqué par l’astérisque (*) dans la MAC address colonne.