Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : configuration de la limitation MAC

Exemple : protection contre les attaques de famine DHCP

Lors d’une attaque de famine DHCP, un attaquant inonde un LAN Ethernet de requêtes DHCP provenant d’adresses MAC usurpées (contrefaçons), ce qui a pour conséquence que le serveur DHCP surchargé du commutateur cesse d’attribuer des adresses IP et des délais de location à des clients DHCP légitimes sur le commutateur (d’où le nom de famine). Les demandes de ces clients sont soit abandonnées, soit dirigées vers un serveur DHCP malveillant configuré par l’attaquant.

Cet exemple explique comment configurer la limitation MAC, une fonctionnalité de sécurité des ports, pour protéger le commutateur contre les attaques de famine DHCP :

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX Series ou QFX3500

  • Junos OS Version 9.0 ou ultérieure pour les commutateurs EX Series, ou Junos OS Version 12.1 ou ultérieure pour le commutateur QFX Series

  • Un serveur DHCP pour fournir des adresses IP aux équipements réseau du commutateur

Avant de configurer la limitation MAC, une fonctionnalité de sécurité de port, pour atténuer les attaques d’affamation DHCP, assurez-vous que vous avez :

  • Connectez le serveur DHCP au commutateur.

  • Configurez le VLAN employé-vlan sur le commutateur.

Présentation et topologie

Les LAN Ethernet sont vulnérables pour répondre aux attaques DoS et d’usurpage sur les équipements réseau. Cet exemple explique comment protéger le commutateur contre un type d’attaque courant, une attaque par famine DHCP.

Cet exemple montre comment configurer des fonctionnalités de sécurité de port sur un commutateur connecté à un serveur DHCP. La configuration de cet exemple inclut le VLAN employé-vlan sur le commutateur. La procédure de création de ce VLAN sur un commutateur EX Series est décrite dans la rubrique , Exemple : Configuration du pontage avec plusieurs VLAN pour les commutateurs EX Series. La procédure n’est pas répétée ici.

La figure 1 illustre la topologie de cet exemple.

Topologie

Figure 1 : Topologie du réseau pour une sécurité Network Topology for Basic Port Security de port de base

Les composants de la topologie de cet exemple sont présentés dans le tableau 1.

Tableau 1 : Composants de la topologie de sécurité des ports
Paramètres des propriétés

Matériel de commutation

Commutateur QFX3500

Nom et ID VLAN

vlan de l’employé

Interfaces dans le vlan de l’employé

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

Interface pour serveur DHCP

ge-0/0/8

Dans cet exemple, le commutateur a déjà été configuré comme suit :

  • L’accès au port sécurisé est activé sur le commutateur.

  • Aucune limite MAC n’est définie sur l’une des interfaces.

  • La surveillance DHCP est désactivée sur le VLAN employee-vlan.

  • Toutes les interfaces d’accès ne sont pas fiables, c’est-à-dire le paramètre par défaut.

Configuration

Pour configurer la fonctionnalité de sécurité de limitation des ports MAC afin de protéger le commutateur contre les attaques d’affamation DHCP :

Procédure

Configuration rapide cli

Pour configurer rapidement la limitation MAC, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Configurer la limitation MAC :

  1. Configurez une limite MAC de 3 sur ge-0/0/1 et spécifiez que les paquets avec de nouvelles adresses doivent être supprimés si la limite a été dépassée sur l’interface :

  2. Configurez une limite MAC de 3 sur ge-0/0/2 et spécifiez que les paquets avec de nouvelles adresses doivent être supprimés si la limite a été dépassée sur l’interface :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Pour confirmer le bon fonctionnement de la configuration :

Vérifier que la limitation MAC fonctionne correctement sur le commutateur

But

Vérifiez que la limitation MAC fonctionne sur le commutateur.

Action

Envoyez des requêtes DHCP à partir d’équipements réseau (ici des clients DHCP) connectés au commutateur.

Affichez les adresses MAC apprises lorsque les requêtes DHCP sont envoyées par des hôtes sur ge-0/0/1 et par des hôtes sur ge-0/0/2, les deux interfaces étant définies à une limite MAC de 3 avec la perte d’action :

Sens

L’exemple de sortie montre qu’avec une limite MAC de 3 pour chaque interface, la demande DHCP pour une quatrième adresse MAC sur ge-0/0/2 a été abandonnée car elle a dépassé la limite MAC.

Comme seules 3 adresses MAC peuvent être apprises sur chacune des deux interfaces, les tentatives d’attaques de famine DHCP échouent.

Exemple : protection contre les attaques de serveur DHCP non autorisés

Lors d’une attaque de serveur DHCP non autorisé, un attaquant a introduit un serveur non autorisé dans le réseau, ce qui lui permet d’accorder des baux d’adresse IP aux clients DHCP du réseau et de s’attribuer lui-même comme équipement de passerelle.

Cet exemple explique comment configurer une interface serveur DHCP comme non fiable pour protéger le commutateur d’un serveur DHCP non autorisé :

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX Series ou un commutateur QFX3500

  • Junos OS Version 9.0 ou ultérieure pour les commutateurs EX Series ou Junos OS Version 12.1 ou ultérieure pour le QFX Series

  • Un serveur DHCP pour fournir des adresses IP aux équipements réseau du commutateur

Avant de configurer une interface de serveur DHCP non fiable pour atténuer les attaques de serveur DHCP malveillantes, assurez-vous d’avoir :

Présentation et topologie

Les LAN Ethernet sont vulnérables pour répondre aux attaques DoS et d’usurpage sur les équipements réseau. Cet exemple explique comment protéger le commutateur contre les attaques de serveur DHCP non autorisés.

Cet exemple montre comment configurer explicitement une interface non fiable sur un commutateur EX3200-24P et un commutateur QFX3500. La figure 2 illustre la topologie de cet exemple.

Topologie

Figure 2 : Topologie du réseau pour la sécurité Network Topology for Basic Port Security des ports de base

Les composants de la topologie de cet exemple sont présentés dans le tableau 2.

Tableau 2 : Composants de la topologie de sécurité des ports
Paramètres des propriétés

Matériel de commutation

Un ex3200-24P, 24 ports (8 ports PoE) ou un commutateur QFX3500

Nom et ID VLAN

employé-vlan, balise 20

Sous-réseaux VLAN

192.0.2.16/28 192.0.2.17 à 192.0.2.30192.0.2.31 est l’adresse de diffusion du sous-réseau

Interfaces dans le vlan de l’employé

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

Interface pour serveur DHCP

ge-0/0/8

Dans cet exemple, le commutateur a déjà été configuré comme suit :

  • L’accès au port sécurisé est activé sur le commutateur.

  • La surveillance DHCP est activée sur le VLAN employé-vlan.

  • L’interface (port) sur laquelle le serveur DHCP non autorisé s’est connecté au commutateur est actuellement fiable.

Configuration

Pour configurer l’interface du serveur DHCP comme non fiable parce qu’elle est utilisée par un serveur DHCP non autorisé :

Procédure

Configuration rapide cli

Pour définir rapidement l’interface du serveur DHCP non fiable, copiez la commande suivante et collez-la dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour définir l’interface du serveur DHCP comme non fiable :

  • Spécifiez l’interface (port) à partir de laquelle les réponses DHCP ne sont pas autorisées :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérifier que l’interface serveur DHCP n’est pas fiable

But

Vérifiez que le serveur DHCP n’est pas fiable.

Action
  1. Envoyez des requêtes DHCP à partir d’équipements réseau (ici des clients DHCP) connectés au commutateur.

  2. Affichez les informations de surveillance DHCP lorsque le port sur lequel le serveur DHCP se connecte au commutateur n’est pas fiable.

Sens

Il n’y a pas de sortie de la commande, car aucune entrée n’est ajoutée à la base de données de surveillance DHCP.

Exemple : protection contre les attaques de dépassement de table de commutation Ethernet

Lors d’une attaque de dépassement de table de commutation Ethernet, un intrus envoie tellement de requêtes à partir de nouvelles adresses MAC que la table de commutation Ethernet se remplit puis déborde, obligeant le commutateur à diffuser tous les messages.

Cet exemple explique comment configurer des adresses MAC limitantes et autorisées, deux fonctionnalités de sécurité de port, pour protéger le commutateur contre les attaques de table de commutation Ethernet :

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX Series ou QFX3500

  • Junos OS Version 9.0 ou ultérieure pour les commutateurs EX Series ou Junos OS 12.1 ou versions ultérieures pour les QFX Series.

  • Un serveur DHCP pour fournir des adresses IP aux équipements réseau du commutateur

Avant de configurer des fonctionnalités de sécurité de port spécifiques pour atténuer les attaques courantes par interface d’accès, assurez-vous d’avoir :

  • Connectez le serveur DHCP au commutateur.

  • Configurez un VLAN sur le commutateur. Découvrez la tâche de votre plate-forme :

Présentation et topologie

Les LAN Ethernet sont vulnérables pour répondre aux attaques DoS et d’usurpage sur les équipements réseau. Cet exemple explique comment protéger le commutateur contre une attaque sur la table de commutation Ethernet qui provoque un débordement de la table et oblige ainsi le commutateur à diffuser tous les messages.

Cet exemple montre comment configurer des fonctionnalités de sécurité de port sur un commutateur connecté à un serveur DHCP.

La configuration de cet exemple inclut le VLAN employé-vlan sur le commutateur. La procédure de création de ce VLAN est décrite dans la rubrique Exemple : Configuration du pontage avec plusieurs VLAN pour les commutateurs EX Series et Exemple : Configuration du pontage avec plusieurs VLAN pour la gamme QFX Series. Cette procédure n’est pas répétée ici. La figure 3 illustre la topologie de cet exemple.

Topologie

Figure 3 : Topologie du réseau pour une sécurité Network Topology for Basic Port Security de port de base

Les composants de la topologie de cet exemple sont présentés dans le tableau 3.

Tableau 3 : Composants de la topologie de sécurité des ports
Paramètres des propriétés

Matériel de commutation

Un commutateur EX Series ou un commutateur QFX3500

Nom et ID VLAN

employé-vlan, balise 20

Sous-réseaux VLAN

192.0.2.16/28 192.0.2.17 à 192.0.2.30 192.0.2.31 est l’adresse de diffusion du sous-réseau

Interfaces dans le vlan de l’employé

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

Interface pour serveur DHCP

ge-0/0/8

Dans cet exemple, utilisez la fonctionnalité de limite MAC pour contrôler le nombre total d’adresses MAC pouvant être ajoutées à la table de commutation Ethernet pour l’interface spécifiée. Utilisez la fonctionnalité d’adresses MAC autorisées pour vous assurer que les adresses des équipements réseau dont l’accès au réseau est essentiel sont garanties d’être incluses dans la table de commutation Ethernet.

Dans cet exemple, le commutateur a déjà été configuré comme suit :

  • L’accès au port sécurisé est activé sur le commutateur.

  • Aucune limite MAC n’est définie sur l’une des interfaces.

  • Toutes les interfaces d’accès ne sont pas fiables, c’est-à-dire le paramètre par défaut.

Configuration

Pour configurer la limitation MAC et certaines adresses MAC autorisées à protéger le commutateur contre les attaques de dépassement de table de commutation Ethernet :

Procédure

Configuration rapide cli

Pour configurer rapidement la limitation MAC, effacez la table de transfert MAC et configurez certaines adresses MAC autorisées, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Configurez la limitation MAC et certaines adresses MAC autorisées :

  1. Configurez une limite MAC de 4 sur ge-0/0/1 et spécifiez que les paquets entrants avec différentes adresses seront supprimés une fois la limite dépassée sur l’interface :

  2. Effacez les entrées actuelles pour l’interface ge-0/0/1 de la table de transfert d’adresses MAC :

  3. Configurez les adresses MAC autorisées sur ge-0/0/2 :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Pour confirmer le bon fonctionnement de la configuration :

Vérifier que la limitation MAC fonctionne correctement sur le commutateur

But

Vérifiez que la limitation MAC fonctionne sur le commutateur.

Action

Affichez les informations du cache MAC après que des requêtes DHCP ont été envoyées par des hôtes sur ge-0/0/1, l’interface étant définie sur une limite MAC de 4 avec la perte d’action, et une fois que quatre adresses MAC autorisées ont été configurées sur l’interface ge/0/0/2 :

Sens

L’exemple de sortie montre qu’avec une limite MAC de 4 pour l’interface, la demande DHCP d’une cinquième adresse MAC sur ge-0/0/1 a été abandonnée parce qu’elle a dépassé la limite MAC et que seules les adresses MAC autorisées spécifiées ont été apprises sur l’interface ge-0/0/2 .