Vue d’ensemble de la sécurité des ports
Fonctionnalités de sécurité des ports
Les réseaux locaux Ethernet sont vulnérables aux attaques telles que l’usurpation d’adresse (falsification) et le déni de service (DoS) de couche 2 sur les équipements réseau. Les fonctions de sécurité des ports permettent de protéger les ports d’accès de votre appareil contre la perte d’informations et de productivité que de telles attaques peuvent causer.
Junos OS est renforcé en séparant les plans de transfert de contrôle et de services, chaque fonction s’exécutant dans la mémoire protégée. Le processeur du plan de contrôle est protégé par une limitation de débit, une stratégie de routage et des filtres de pare-feu pour garantir la disponibilité du commutateur, même en cas d’attaque sévère.
Junos OS fournit des fonctionnalités pour aider à sécuriser les ports sur un périphérique. Les ports peuvent être catégorisés comme étant approuvés ou non approuvés. Vous appliquez les stratégies appropriées à chaque catégorie pour protéger les ports contre différents types d’attaques.
Les fonctionnalités de sécurité des ports d’accès, telles que l’inspection dynamique ARP (Address Resolution Protocol), la surveillance DHCP et la limitation MAC, sont contrôlées par une seule commande CLI Junos OS. Les fonctionnalités de sécurité de port de base sont activées dans la configuration par défaut de l’appareil. Vous pouvez configurer des fonctionnalités supplémentaires en un minimum d’étapes de configuration. En fonction de la fonctionnalité particulière, vous pouvez configurer la fonctionnalité sur les VLAN ou les interfaces de domaine de pont.
À partir de Junos OS version 18.4R1, la surveillance DHCP se produit sur les ports approuvés pour les commutateurs Juniper Series suivants, EX2300, EX4600 et QFX5K. Avant Junos OS version 18.4R1, pour ces périphériques, cela n’était vrai que pour la surveillance DHCPv6. En outre, la surveillance DHCP se produit sur les ports approuvés pour les commutateurs EX9200 Series et Fusion Enterprise qui exécutent Junos OS version 19.1R1 et ultérieure.
Juniper Networks EX Series Commutateurs Ethernet fournissons les fonctionnalités de sécurité matérielles et logicielles suivantes :
Console Port—Permet d’utiliser le port console pour se connecter au moteur de routage via un câble RJ-45. Vous utilisez ensuite l’interface de ligne de commande (CLI) pour configurer le commutateur.
Out-of-Band Management—Un port Ethernet de gestion dédié sur le panneau arrière permet une gestion hors bande.
Software Images—Toutes les images Junos OS sont signées par l’autorité de certification (CA) de Juniper Networks avec une infrastructure à clé publique (PKI).
User Authentication, Authorization, and Accounting (AAA)—Les caractéristiques comprennent :
Comptes d’utilisateurs et de groupes avec chiffrement et authentification par mot de passe.
Niveaux de privilèges d’accès configurables pour les classes de connexion et les modèles d’utilisateur.
Authentification RADIUS, authentification TACACS+, ou les deux, pour authentifier les utilisateurs qui tentent d’accéder au commutateur.
Audit des modifications de configuration via la journalisation système ou RADIUS/TACACS+.
802.1X Authentication: fournit un contrôle d’accès au réseau. Les demandeurs (hôtes) sont authentifiés lorsqu’ils se connectent pour la première fois à un réseau local. L’authentification des demandeurs avant qu’ils ne reçoivent une adresse IP d’un serveur DHCP empêche les demandeurs non autorisés d’accéder au réseau local. Les commutateurs EX Series prennent en charge les méthodes EAP (Extensible Authentication Protocol), notamment EAP-MD5, EAP-TLS, EAP-TTLS et EAP-PEAP.
Port Security—Les fonctions de sécurité du port d’accès prises en charge sur les périphériques de commutation sont les suivantes :
Surveillance DHCP : filtre et bloque les messages du serveur DHCP (Dynamic Host Configuration Protocol) entrants sur les ports non approuvés, et crée et gère une base de données d’informations sur les baux DHCP, appelée base de données d’écoute DHCP.
Note:La surveillance DHCP n’est pas activée dans la configuration par défaut de l’équipement de commutation. La surveillance DHCP est activée sur un domaine VLAN ou de pont. Les détails de l’activation de la surveillance DHCP dépendent de l’appareil concerné.
Serveur DHCP approuvé : la configuration du serveur DHCP sur un port approuvé protège contre l’envoi de baux par des serveurs DHCP non autorisés. Vous activez cette fonctionnalité sur une interface (port). Par défaut, les ports d’accès ne sont pas approuvés et les ports de jonction sont approuvés. (Les ports d’accès sont les ports de commutation qui se connectent aux points de terminaison Ethernet tels que les PC et ordinateurs portables, les serveurs et les imprimantes des utilisateurs. Les ports trunk sont les ports de commutateur qui connectent un commutateur Ethernet à d’autres commutateurs ou routeurs.)
Surveillance DHCPv6 : surveillance DHCP pour IPv6.
Option DHCP 82 : également connue sous le nom d’option Informations sur l’agent de relais DHCP. Cette fonctionnalité DHCPv4 permet de protéger l’équipement de commutation contre les attaques telles que l’usurpation d’adresses IP et d’adresses MAC et la privation d’adresses IP DHCP. L’option 82 fournit des informations sur l’emplacement réseau d’un client DHCP, et le serveur DHCP utilise ces informations pour implémenter les adresses IP ou d’autres paramètres du client.
DHCPv6 option 37 : l’option 37 est l’option d’identification à distance pour DHCPv6 et permet d’insérer des informations sur l’emplacement réseau de l’hôte distant dans les paquets DHCPv6. Vous activez l’option 37 sur un VLAN.
Note:La surveillance DHCPv6 avec l’option 37 n’est pas prise en charge sur la MX Series.
DHCPv6 option 18 : l’option 18 est l’option d’ID de circuit pour DHCPv6 et permet d’insérer des informations sur le port client dans les paquets DHCPv6. Cette option inclut d’autres détails qui peuvent être configurés de manière facultative, tels que le préfixe et la description de l’interface.
DHCPv6 option 16 : l’option 16 est l’option d’ID de fournisseur pour DHCPv6 et permet d’insérer des informations sur le fournisseur du matériel client dans les paquets DHCPv6.
Inspection ARP dynamique (DAI) : empêche les attaques par usurpation d’adresse (ARP). Les requêtes et réponses ARP sont comparées aux entrées de la base de données d’écoute DHCP, et les décisions de filtrage sont prises sur la base des résultats de ces comparaisons. Vous activez DAI sur un VLAN.
IPv6 neighbor discovery inspection : empêche les attaques par usurpation d’adresse IPv6. Les demandes de découverte de voisinage et les réponses sont comparées aux entrées de la base de données d’écoute DHCPv6 et les décisions de filtrage sont prises sur la base des résultats de ces comparaisons. Vous activez l’inspection par découverte de voisinage sur un VLAN.
IP Source Guard : atténue les effets des attaques par usurpation d’adresse IP sur le réseau local Ethernet. Lorsque la protection de source IP est activée, l’adresse IP source du paquet envoyé à partir d’une interface d’accès non approuvée est validée par rapport à la base de données d’écoute DHCP. Si le paquet ne peut pas être validé, il est rejeté. Vous activez IP Source Guard sur un domaine VLAN ou de pont.
IPv6 source guard : protection de la source IP pour IPv6.
Limitation MAC : protège contre le flooding de la table de commutation Ethernet (également appelée table de transfert MAC ou table de transfert de couche 2). Vous pouvez activer la limitation MAC sur une interface.
Limitation des mouvements MAC : suit les mouvements MAC et détecte l’usurpation MAC sur les ports d’accès. Vous activez cette fonctionnalité sur un domaine VLAN ou pont.
Apprentissage MAC persistant : également connu sous le nom de MAC rémanent. L’apprentissage MAC persistant permet aux interfaces de conserver les adresses MAC apprises dynamiquement lors des redémarrages des commutateurs. Vous activez cette fonctionnalité sur une interface.
ARP proxy sans restriction : le commutateur répond à tous les messages ARP avec sa propre adresse MAC. Les hôtes connectés aux interfaces du commutateur ne peuvent pas communiquer directement avec d’autres hôtes. Au lieu de cela, toutes les communications entre les hôtes passent par le commutateur.
ARP du proxy restreint : le commutateur ne répond pas à une demande ARP si les réseaux physiques de la source et de la cible de la demande ARP sont identiques. Peu importe que l’hôte de destination ait la même adresse IP que l’interface entrante ou une adresse IP différente (distante). Une demande ARP pour une adresse de diffusion n’obtient aucune réponse.
Device Security—Le storm control permet au commutateur de surveiller le trafic unicast et de diffusion inconnu et d’abandonner des paquets, ou d’arrêter ou de désactiver temporairement l’interface lorsqu’un niveau de trafic spécifié est dépassé, empêchant ainsi les paquets de proliférer et de dégrader le réseau local. Vous pouvez activer le storm control sur les interfaces d’accès ou les interfaces de jonction.
Encryption Standards—Les normes prises en charge sont les suivantes :
Norme de chiffrement avancée (AES) 128, 192 et 256 bits
Data Encryption Standard (DES) 56 bits et 3DES 168 bits
Voir aussi
Comprendre comment protéger les ports d’accès contre les attaques courantes
Les fonctions de sécurité des ports peuvent protéger l’Juniper Networks EX Series et la QFX10000 Commutateurs Ethernet contre différents types d’attaques. Les méthodes de protection contre certaines attaques courantes sont les suivantes :
- Atténuation des attaques par dépassement de capacité de la table de commutation Ethernet
- Atténuation des attaques contre les serveurs DHCP non autorisés
- Protection contre les attaques par usurpation ARP (ne s’applique pas aux commutateurs QFX10000 Series)
- Protection contre les attaques d’altération de base de données par espionnage DHCP (ne s’applique pas aux commutateurs de la série QFX10000)
- Protection contre les attaques par manque de DHCP
Atténuation des attaques par dépassement de capacité de la table de commutation Ethernet
Lors d’une attaque par dépassement de capacité sur la table de commutation Ethernet, un intrus envoie tellement de requêtes à partir de nouvelles adresses MAC que la table ne peut pas connaître toutes les adresses. Lorsque le commutateur ne peut plus utiliser les informations de la table pour transférer le trafic, il est forcé de diffuser des messages. Le flux de trafic sur le commutateur est interrompu et les paquets sont envoyés à tous les hôtes du réseau. En plus de surcharger le réseau avec du trafic, l’attaquant peut également être en mesure de renifler ce trafic de diffusion.
Pour atténuer ces attaques, configurez à la fois une limite MAC pour les adresses MAC apprises et certaines adresses MAC spécifiques autorisées. Utilisez la fonction de limitation MAC pour contrôler le nombre total d’adresses MAC pouvant être ajoutées à la table de commutation Ethernet pour la ou les interfaces spécifiées. En définissant les adresses MAC explicitement autorisées, vous vous assurez que les adresses des périphériques réseau dont l’accès réseau est critique sont garanties d’être incluses dans le tableau de commutation Ethernet. Reportez-vous à la section Exemple : Protection contre les attaques par dépassement de capacité de la table de commutation Ethernet.
Vous pouvez également configurer les adresses MAC apprises pour qu’elles persistent sur chaque interface. Utilisé en combinaison avec une limite MAC configurée, cet apprentissage MAC persistant permet d’éviter la perte de trafic après un redémarrage ou un événement de panne d’interface, et augmente également la sécurité des ports en limitant les adresses MAC autorisées sur l’interface.
Atténuation des attaques contre les serveurs DHCP non autorisés
Si un attaquant configure un serveur DHCP non autorisé pour qu’il se fasse passer pour un serveur DHCP légitime sur le réseau local, le serveur non autorisé peut commencer à émettre des baux pour les clients DHCP du réseau. Les informations fournies aux clients par ce serveur malveillant peuvent perturber leur accès au réseau, provoquant des attaques de déni de service. Le serveur non autorisé peut également s’attribuer lui-même en tant que périphérique de passerelle par défaut pour le réseau. L’attaquant peut alors renifler le trafic réseau et perpétrer une attaque de type « man-in-the-middle », c’est-à-dire qu’il détourne le trafic destiné à un équipement réseau légitime vers un équipement de son choix.
Pour atténuer une attaque de serveur DHCP non fiable, définissez l’interface à laquelle ce serveur non autorisé est connecté. Cette action bloquera tous les messages entrants du serveur DHCP à partir de cette interface. Reportez-vous à la section Exemple : Protection contre les attaques de serveurs DHCP non autorisés.
Le commutateur consigne tous les paquets du serveur DHCP reçus sur des ports non approuvés, par exemple :
5 DHCP non fiable offre reçue, interface GE-0/0/0.0[65], VLAN v1[10] serveur ip/mac 12.12.1/00 :00 :00 :00 :01 :12 offre ip/client mac 12.12.12.253/00 :AA :BB :CC :DD :01
Vous pouvez utiliser ces messages pour détecter les serveurs DHCP malveillants sur le réseau.
Pour QFX Series commutateurs, y compris QFX10000, si vous connectez un serveur DHCP à un port d’accès, vous devez configurer le port comme étant approuvé.
Protection contre les attaques par usurpation ARP (ne s’applique pas aux commutateurs QFX10000 Series)
Dans le cas de l’usurpation ARP, un attaquant envoie de faux messages ARP sur le réseau. L’attaquant associe sa propre adresse MAC à l’adresse IP d’un périphérique réseau connecté au commutateur. Tout trafic envoyé à cette adresse IP est envoyé à l’attaquant. Désormais, l’attaquant peut créer divers types de méfaits, y compris renifler les paquets qui étaient destinés à un autre hôte et perpétrer des attaques de l’homme du milieu. (Dans une attaque de l’homme du milieu, l’attaquant intercepte les messages entre deux hôtes, les lit et les modifie peut-être, le tout sans que les hôtes d’origine ne sachent que leurs communications ont été compromises.)
Pour vous protéger contre l’usurpation ARP sur votre commutateur, activez à la fois la surveillance DHCP et l’inspection ARP dynamique (DAI). La surveillance DHCP crée et gère la table de surveillance DHCP. Ce tableau contient les adresses MAC, les adresses IP, les durées de location, les types de liaison, les informations VLAN et les informations d’interface pour les interfaces non approuvées sur le commutateur. Le DAI utilise les informations de la table d’écoute DHCP pour valider les paquets ARP. Les paquets ARP non valides sont bloqués et, lorsqu’ils sont bloqués, un message de journal système est enregistré qui inclut le type de paquet ARP ainsi que l’adresse IP et l’adresse MAC de l’expéditeur.
Voir Exemple : Protection contre les attaques par usurpation ARP.
Protection contre les attaques d’altération de base de données par espionnage DHCP (ne s’applique pas aux commutateurs de la série QFX10000)
Lors d’une attaque visant à altérer la base de données d’écoute DHCP, un intrus introduit un client DHCP sur l’une des interfaces d’accès non approuvées du commutateur dont l’adresse MAC est identique à celle d’un client sur un autre port non approuvé. L’intrus acquiert le bail DHCP, ce qui entraîne des modifications des entrées dans la table d’écoute DHCP. Par la suite, ce qui aurait été des requêtes ARP valides provenant du client légitime est bloquée.
Pour vous protéger contre ce type d’altération de la base de données d’écoute DHCP, configurez les adresses MAC qui sont explicitement autorisées sur l’interface. Reportez-vous à la section Exemple : Protection contre les attaques de base de données par espionnage DHCP.
Protection contre les attaques par manque de DHCP
Lors d’une attaque par manque de DHCP, un attaquant inonde un réseau local Ethernet de requêtes DHCP provenant d’adresses MAC usurpées (contrefaites), de sorte que les serveurs DHCP approuvés du commutateur ne puissent pas répondre aux demandes des clients DHCP légitimes sur le commutateur. L’espace d’adressage de ces serveurs étant complètement épuisé, ils ne peuvent plus attribuer d’adresses IP et de durée de bail aux clients. Les requêtes DHCP émanant de ces clients sont soit abandonnées (c’est-à-dire qu’il en résulte un déni de service), soit dirigées vers un serveur DHCP non autorisé configuré par l’attaquant pour se faire passer pour un serveur DHCP légitime sur le réseau local.
Pour protéger le commutateur contre les attaques de famine DHCP, utilisez la fonction de limitation MAC. Spécifiez le nombre maximal d’adresses MAC que le commutateur peut apprendre sur les interfaces d’accès auxquelles ces clients se connectent. Le ou les serveurs DHCP du commutateur seront alors en mesure de fournir le nombre spécifié d’adresses IP et de baux à ces clients et pas plus. Si une attaque par manque de DHCP se produit après l’attribution du nombre maximal d’adresses IP, l’attaque échoue. Reportez-vous à la section Exemple : Protection contre les attaques par famine DHCP.
Pour une protection supplémentaire sur les commutateurs EX Series, vous pouvez configurer les adresses MAC apprises sur chaque interface pour qu’elles persistent après les redémarrages du commutateur en activant l’apprentissage MAC persistant. Cet apprentissage MAC persistant permet à la fois d’éviter les pertes de trafic après un redémarrage et garantit que, même après un redémarrage ou une panne d’interface, les adresses MAC persistantes sont rentrées dans la base de données de transfert plutôt que le commutateur n’apprenne de nouvelles adresses MAC.
Voir aussi
Configuration de la sécurité des ports (ELS)
Les fonctionnalités décrites sont prises en charge sur les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Configuration de la sécurité des ports (non-ELS). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Les réseaux locaux Ethernet sont vulnérables aux attaques telles que l’usurpation d’adresse et le déni de service de couche 2 sur les équipements réseau. Les fonctions de sécurité des ports DHCP aident à protéger les ports d’accès du commutateur contre les pertes d’informations et de productivité pouvant résulter de telles attaques.
Les fonctionnalités de sécurité de port suivantes sont prises en charge pour DHCPv4 :
Surveillance DHCP
Inspection dynamique ARP (DAI)
Protection de la source IP
DHCP option 82
Les fonctionnalités de sécurité de port suivantes sont prises en charge pour DHCPv6 :
Surveillance DHCPv6
Inspection de découverte des voisins IPv6
Protection de source IPv6
DHCPv6 option 37, option 18 et option 16
La surveillance DHCP et la surveillance DHCPv6 sont désactivées par défaut sur tous les VLAN. Aucune configuration CLI explicite n’est utilisée pour activer la surveillance DHCP ou DHCPv6. Lorsque vous configurez l’une des fonctionnalités de sécurité de port d’un VLAN au niveau de la hiérarchie, la [edit vlans vlan-name forwarding-options dhcp-security] surveillance DHCP et la surveillance DHCPv6 sont automatiquement activées sur ce VLAN.
À partir de Junos OS version 14.1X53-D47 et 15.1R6, vous pouvez activer la surveillance DHCP ou DHCPv6 sur un VLAN sans configurer d’autres fonctionnalités de sécurité de port en configurant l’instruction dhcp-security CLI au niveau de la hiérarchie [edit vlans vlan-name forwarding-options].
DAI, inspection de découverte des voisins IPv6, IP Source Guard, IPv6 Source Guard, DHCP option 82 et DHCPv6 sont configurés par VLAN. Vous devez configurer un VLAN avant de configurer ces fonctionnalités de sécurité des ports DHCP. Reportez-vous à la section Configuration des VLAN pour commutateurs EX Series avec prise en charge ELS (procédure CLI).
Les fonctionnalités de sécurité des ports DHCP que vous spécifiez pour le VLAN s’appliquent à toutes les interfaces incluses dans ce VLAN. Toutefois, vous pouvez attribuer différents attributs à une interface d’accès ou à un groupe d’interfaces d’accès au sein du VLAN. La ou les interfaces d’accès doivent d’abord être configurées en tant que groupe à l’aide de l’instruction group au niveau de la [edit vlans vlan-name forwarding-options dhcp-security] hiérarchie. Un groupe doit avoir au moins une interface.
La configuration d’un groupe d’interfaces d’accès sur un VLAN au niveau de la [edit vlans vlan-name forwarding-options dhcp-security] hiérarchie active automatiquement la surveillance DHCP pour toutes les interfaces du VLAN.
Les attributs qui peuvent être spécifiés pour les interfaces d’accès à l’aide de l’instruction sont les group suivants :
Spécification que l’interface a une adresse MAC IP statique (
static-ip or static-ipv6)Spécification d’une interface d’accès servant d’interface sécurisée à un serveur DHCP (
trusted)Spécification d’une interface devant ne pas transmettre les options DHCP 82 (
no-option82) ou DHCPv6 (no-option37)
Les interfaces trunk sont approuvées par défaut. Toutefois, vous pouvez remplacer ce comportement par défaut et définir une interface trunk sur untrusted.
Pour plus de détails, voir :
Vous pouvez remplacer les paramètres généraux de sécurité des ports du VLAN en configurant un groupe d’interfaces d’accès au sein de ce VLAN. Pour plus de détails, voir :
Voir aussi
Configuration de la sécurité des ports (non-ELS)
Les réseaux locaux Ethernet sont vulnérables aux attaques telles que l’usurpation d’adresse et le déni de service de couche 2 sur les équipements réseau. Les fonctions de sécurité des ports telles que la surveillance DHCP, l’inspection ARP dynamique (DAI), la limitation MAC, la limitation des déplacements MAC et l’apprentissage MAC persistant, ainsi qu’un serveur DHCP de confiance, aident à protéger les ports d’accès du commutateur contre la perte d’informations et de productivité que de telles attaques peuvent causer.
En fonction de la fonctionnalité particulière, vous pouvez configurer la fonction de sécurité de port sur :
VLAN : un VLAN spécifique ou tous les VLAN
Interfaces : une interface spécifique ou toutes les interfaces
Si vous configurez l’une des fonctions de sécurité de port sur tous les VLAN ou toutes les interfaces, le logiciel du commutateur active cette fonctionnalité de sécurité de port sur tous les VLAN et toutes les interfaces qui ne sont pas explicitement configurées avec d’autres fonctions de sécurité de port.
Toutefois, si vous configurez explicitement l’une des fonctionnalités de sécurité de port sur un VLAN spécifique ou sur une interface spécifique, vous devez configurer explicitement toutes les fonctionnalités de sécurité de port supplémentaires que vous souhaitez appliquer à ce VLAN ou à cette interface. Dans le cas contraire, le logiciel du commutateur applique automatiquement les valeurs par défaut de la fonction.
Par exemple, si vous désactivez la surveillance DHCP sur tous les VLAN et que vous décidez d’activer explicitement IP Source Guard uniquement sur un VLAN spécifique, vous devez également activer explicitement la surveillance DHCP sur ce VLAN spécifique. Dans le cas contraire, la valeur par défaut « Aucune surveillance DHCP » s’applique à ce VLAN.
Pour configurer les fonctionnalités de sécurité des ports à l’aide de l’interface de ligne de commande :
- Activation de la surveillance DHCP
- Activation de l’inspection ARP dynamique (DAI)
- Activation de l’inspection de découverte des voisins IPv6
- Limitation des adresses MAC dynamiques sur une interface
- Activation de l’apprentissage MAC persistant sur une interface
- Limitation du déplacement des adresses MAC
- Restriction de l’adresse MAC d’un client VoIP dans un VLAN VoIP
- Configuration de serveurs DHCP approuvés sur une interface
Activation de la surveillance DHCP
Vous pouvez configurer la surveillance DHCP pour permettre à l’appareil de surveiller les messages DHCP reçus, de s’assurer que les hôtes utilisent uniquement les adresses IP qui leur sont attribuées et d’autoriser l’accès uniquement aux serveurs DHCP autorisés.
Pour activer la surveillance DHCP :
Sur un VLAN spécifique :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
Sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
Pour activer la surveillance DHCPv6 :
Sur un VLAN spécifique :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
Sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
Activation de l’inspection ARP dynamique (DAI)
Vous pouvez activer DAI pour vous protéger contre l’espionnage ARP. Pour activer le DAI :
Sur un seul VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
Sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
Activation de l’inspection de découverte des voisins IPv6
Vous pouvez activer l’inspection de découverte des voisins pour vous protéger contre l’usurpation d’adresse IPv6.
Pour activer la découverte des voisins sur un seul VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
Pour activer la découverte de voisinage sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
Limitation des adresses MAC dynamiques sur une interface
Limitez le nombre d’adresses MAC dynamiques autorisées sur une interface et spécifiez l’action à effectuer en cas de dépassement de la limite :
Sur une interface unique :
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
Sur toutes les interfaces :
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
Activation de l’apprentissage MAC persistant sur une interface
Vous pouvez configurer les adresses MAC apprises pour qu’elles persistent sur une interface après les redémarrages du commutateur :
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
Limitation du déplacement des adresses MAC
Vous pouvez limiter le nombre de fois qu’une adresse MAC peut quitter son interface d’origine en 1 seconde :
Sur un seul VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
Sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
Restriction de l’adresse MAC d’un client VoIP dans un VLAN VoIP
Pour empêcher l’apprentissage de l’adresse MAC d’un client VoIP dans un VLAN VoIP configuré :
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
Toute adresse MAC apprise sur cette interface pour le VLAN VoIP n’est pas apprise sur un VLAN de données avec cette même interface. Si une adresse MAC a été apprise sur une interface VLAN de données et que l’adresse MAC est apprise sur un VLAN VoIP avec cette même interface, l’adresse MAC est supprimée de l’interface VLAN de données.
Configuration de serveurs DHCP approuvés sur une interface
Configurez un serveur DHCP approuvé sur une interface :
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
Exemple : Configuration de la sécurité des ports (non-ELS)
Vous pouvez configurer la surveillance DHCP, l’inspection ARP dynamique (DAI), la limitation MAC, l’apprentissage MAC persistant et la limitation des déplacements MAC sur les ports non approuvés des commutateurs afin de protéger les commutateurs et le réseau local Ethernet contre l’usurpation d’adresse et les attaques par déni de service (DoS) de couche 2. Vous pouvez également configurer un serveur DHCP approuvé et des adresses MAC spécifiques (autorisées) pour les interfaces des commutateurs.
Les commutateurs utilisés dans cet exemple ne prennent pas en charge le style de configuration ELS. Pour plus d’informations sur la configuration de la sécurité des ports sur les commutateurs ELS, reportez-vous à la section Configuration de la sécurité des ports (ELS).
Cet exemple décrit comment configurer les fonctionnalités de sécurité de port de base sur un commutateur :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un EX Series ou un QFX Series.
Junos OS version 11.4 ou ultérieure pour les commutateurs EX Series ou Junos OS version 12.1 ou ultérieure pour les commutateurs QFX Series
Un serveur DHCP pour fournir des adresses IP aux périphériques réseau sur le commutateur
Avant de configurer les fonctionnalités de base de la sécurité des ports, assurez-vous d’avoir :
Connectez le serveur DHCP au commutateur - effectué.
Configurez un VLAN sur le commutateur - effectué. Voir la tâche pour votre plate-forme :
Dans cet exemple, le serveur DHCP et ses clients sont tous membres d’un seul VLAN sur le commutateur.
Vue d’ensemble et topologie
Les réseaux locaux Ethernet sont vulnérables à l’usurpation d’adresse et aux attaques par déni de service (DoS) sur les équipements réseau. Pour protéger les appareils contre de telles attaques, vous pouvez configurer :
Surveillance DHCP pour valider les messages du serveur DHCP
DAI pour se protéger contre l’usurpation MAC
Limitation MAC pour limiter le nombre d’adresses MAC que le commutateur ajoute à son cache d’adresses MAC
Limitation des déplacements MAC pour éviter l’usurpation MAC
Apprentissage MAC persistant (sticky MAC) pour contraindre les adresses MAC qui peuvent être apprises sur une interface aux premières apprises, même après un redémarrage du commutateur
Serveur DHCP approuvé configuré sur un port approuvé pour se protéger contre les serveurs DHCP non autorisés qui envoient des baux
Cet exemple montre comment configurer ces fonctionnalités de sécurité sur un commutateur connecté à un serveur DHCP.
La configuration de cet exemple inclut le VLAN employee-vlan sur le commutateur. La figure 1 illustre la topologie de cet exemple.
Topologie
ports
Les composants de la topologie de cet exemple sont indiqués dans le tableau 1.
| Paramètres des propriétés | |
|---|---|
Matériel de commutation |
Un commutateur EX Series ou QFX Series |
Nom et ID du VLAN |
employé-vlan, balise 20 |
Sous-réseaux VLAN |
192.0.2.16/28 192.0.2.17 à 192.0.2.30 192.0.2.31 est l’adresse de diffusion du sous-réseau |
Interfaces dans employee-vlan |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interface pour serveur DHCP |
GE-0/0/8 |
Dans cet exemple, le commutateur est initialement configuré avec la configuration de sécurité de port par défaut. Dans la configuration par défaut du commutateur :
L’accès sécurisé aux ports est activé sur le commutateur.
La surveillance DHCP et le DAI sont désactivés sur tous les VLAN.
Tous les ports d’accès ne sont pas approuvés, et tous les ports de jonction sont approuvés pour la surveillance DHCP.
Dans les tâches de configuration de cet exemple, vous définissez le serveur DHCP comme approuvé ; vous activez la surveillance DHCP, le DAI et la limitation des déplacements MAC sur un VLAN ; vous définissez une valeur pour une limite MAC sur certaines interfaces ; vous configurez des adresses MAC spécifiques (autorisées) sur une interface ; et configurer l’apprentissage MAC persistant sur une interface.
Configuration
Pour configurer la sécurité de base d’un commutateur dont les ports DHCP, serveur et client se trouvent dans un seul VLAN :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la sécurité de base des ports sur le commutateur, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
Procédure étape par étape
Configurez la sécurité de base des ports sur le commutateur :
Activez la surveillance DHCP sur le VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
Spécifiez l’interface (port) à partir de laquelle les réponses DHCP sont autorisées :
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
Activez l’inspection ARP dynamique (DAI) sur le VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Configurez une limite MAC de 4 et utilisez l’action par défaut, abandonner. (Les paquets sont abandonnés et l’adresse MAC n’est pas ajoutée à la table de commutation Ethernet si la limite MAC est dépassée sur les interfaces) :
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
Autoriser la persistance des adresses MAC apprises pour une interface particulière après les redémarrages du commutateur et les événements d’indisponibilité de l’interface en activant l’apprentissage MAC persistant :
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
Configurez une limite de déplacement MAC de 5 et utilisez l’action par défaut, abandonner. (Les paquets sont abandonnés et l’adresse MAC n’est pas ajoutée à la table de commutation Ethernet si une adresse MAC a dépassé la limite de déplacement MAC) :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
Configurez les adresses MAC autorisées :
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Résultats
Vérifiez les résultats de la configuration :
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
Vérification
Pour vérifier que la configuration fonctionne correctement :
- Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur
- Vérification du bon fonctionnement du DAI sur le commutateur
- Vérification du bon fonctionnement de la limitation MAC, de la limitation des déplacements MAC et de l’apprentissage MAC persistant sur le commutateur
- Vérification du bon fonctionnement des adresses MAC autorisées sur le commutateur
Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur
But
Vérifiez que la surveillance DHCP fonctionne sur le commutateur.
Action
Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur.
Affichez les informations de surveillance DHCP lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur est approuvée. La sortie suivante se produit lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
Sens
Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie sur approuvée, la sortie (voir l’exemple précédent) affiche, pour chaque adresse MAC, l’adresse IP attribuée et la durée du bail, c’est-à-dire le temps, en secondes, restant avant l’expiration du bail.
Si le serveur DHCP avait été configuré comme non approuvé, aucune entrée n’était ajoutée à la base de données d’écoute DHCP et rien n’était affiché dans la sortie de la show dhcp snooping binding commande.
Vérification du bon fonctionnement du DAI sur le commutateur
But
Vérifiez que le DAI fonctionne sur le commutateur.
Action
Envoyez des requêtes ARP à partir des périphériques réseau connectés au commutateur.
Affichez les informations DAI :
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Sens
L’exemple de sortie indique le nombre de paquets ARP reçus et inspectés par interface, avec une liste du nombre de paquets passés et du nombre d’échecs à l’inspection sur chaque interface. Le commutateur compare les requêtes et les réponses ARP aux entrées de la base de données d’écoute DHCP. Si une adresse MAC ou une adresse IP dans le paquet ARP ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.
Vérification du bon fonctionnement de la limitation MAC, de la limitation des déplacements MAC et de l’apprentissage MAC persistant sur le commutateur
But
Vérifiez que la limitation MAC, la limitation des déplacements MAC et l’apprentissage MAC persistant fonctionnent sur le commutateur.
Action
Supposons que deux paquets ont été envoyés par des hôtes sur ge-0/0/1 et cinq paquets par des hôtes sur ge-0/0/2, avec les deux interfaces définies sur une limite MAC de 4 avec l’action par défaut drop et ge-0/0/1 activé pour l’apprentissage MAC persistant.
Affichez les adresses MAC apprises :
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Supposons maintenant que des paquets aient été envoyés à partir de deux des hôtes sur ge-0/0/2 après avoir été déplacés vers d’autres interfaces plus de cinq fois en 1 seconde, avec employee-vlan défini sur une limite de déplacement MAC de 5 avec la suppression de l’action par défaut.
Affichez les adresses MAC dans le tableau :
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Sens
Le premier exemple de sortie montre qu’avec une limite MAC de 4 pour chaque interface, la cinquième adresse MAC sur ge-0/0/2 n’a pas été apprise car elle a dépassé la limite MAC. Le deuxième exemple de sortie montre que les adresses MAC de trois des hôtes sur ge-/0/0/2 n’ont pas été apprises, car les hôtes ont été déplacés plus de cinq fois en 1 seconde.
L’interface ge-0/0/1.0 a été activée pour l’apprentissage MAC persistant, de sorte que les adresses MAC associées à cette interface sont de type persistant.
Vérification du bon fonctionnement des adresses MAC autorisées sur le commutateur
But
Vérifiez que les adresses MAC autorisées fonctionnent sur le commutateur.
Action
Affiche les informations du cache MAC après la configuration de cinq adresses MAC autorisées sur l’interface ge-0/0/2 :
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Sens
Étant donné que la valeur limite MAC de cette interface a été définie sur 4, seules quatre des cinq adresses autorisées configurées sont apprises.