スイッチのポート セキュリティのための IP ソース ガードについて
イーサネットLANスイッチは、送信元IPアドレスまたは送信元MACアドレスのなりすまし(偽造)を伴う攻撃に対して脆弱です。IPソース ガード アクセス ポート セキュリティ機能を使用して、これらの攻撃の影響を緩和できます。
IP アドレス スプーフィング
アクセス インターフェイス上のホストは、無効なアドレスを含むパケットをスイッチにフラッディングすることで、送信元 IP アドレスや送信元 MAC アドレスをスプーフィングできます。このような攻撃をTCP SYNフラッド攻撃などの他の手法と組み合わせると、サービス拒否(DoS)攻撃を引き起こす可能性があります。送信元 IP アドレスまたは送信元 MAC アドレスのなりすましでは、システム管理者は攻撃元を特定できません。攻撃者は、同じサブネットまたは別のサブネット上のアドレスをスプーフィングできます。
IPソース ガードの仕組み
IPソースガードは、スイッチ上の信頼できないアクセスインターフェイスに接続されたホストから送信された各パケットを調べます。ホストに関連付けられているIPアドレス、MACアドレス、VLAN、およびインターフェイスは、DHCPスヌーピングデータベースに保存されているエントリと照合されます。パケット ヘッダーが DHCP スヌーピング データベースの有効なエントリと一致しない場合、スイッチはパケットを転送しません。つまり、パケットは廃棄されます。
スイッチがELS(拡張レイヤー2ソフトウェア)設定スタイルをサポートするEXシリーズでJunos OSを使用している場合、VLANでIPソースガードを有効にすると、DHCPスヌーピングが自動的に有効になります。 IPソース ガード(ELS)の設定を参照してください。
スイッチが拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートせずにEXシリーズでJunos OSを使用している場合、VLANでIPソースガードを有効にする場合は、そのVLANでDHCPスヌーピングも明示的に有効にする必要があります。それ以外の場合、デフォルト値の DHCP スヌーピングなし が VLAN に適用されます。 IPソース ガードの設定(非ELS)を参照してください。
IP ソース ガードは、VLAN 上の信頼できないアクセス インターフェイスから送信されたパケットを検査します。デフォルトでは、アクセス インターフェイスは信頼されず、トランク インターフェイスは信頼されます。IPソースガードは、DHCPサーバーをそのインターフェイスに接続して動的IPアドレスを提供できるように、信頼できるインターフェイスに接続されたデバイスからスイッチに送信されたパケットを検査しません。
EX9200スイッチでは、トランクインターフェイスを untrusted
として設定することで、IPソースガードをサポートすることができます。
IPv6ソース ガード
IPv6ソース ガードは、DHCPv6 スヌーピングをサポートするスイッチで使用できます。スイッチが DHCPv6 スヌーピングをサポートしているかどうかを確認するには、 Feature Explorerを参照してください。
DHCP スヌーピング テーブル
IP ソース ガードは、DHCP スヌーピング テーブル(DHCP バインディング テーブルとも呼ばれる)から、IP アドレスから MAC アドレス バインディング(IP-MAC バインディング)に関する情報を取得します。DHCP スヌーピング テーブルは、ダイナミック DHCP スヌーピング、または特定のスタティック IP アドレスから MAC アドレスへのバインディングの設定によって入力されます。DHCP スヌーピング テーブルの詳細については、 DHCP スヌーピング(ELS)についてを参照してください。
DHCP スヌーピング テーブルを表示するには、スイッチの CLI に表示される動作モード コマンドを発行します。
DHCPスヌーピングの場合:
(非ELSスイッチの場合)
show ip-source-guard
(ELSスイッチのみ)
show dhcp-security binding
DHCPv6スヌーピングの場合:
(非ELSスイッチの場合)
show dhcpv6 snooping binding
(ELSスイッチのみ)
show dhcp-security ipv6 binding
IPソース ガードを使用したその他の Junos OS 機能の一般的な使用法
IPソース ガードは、その他さまざまなポート セキュリティ機能と一緒に設定できます。
VLAN タギング(音声 VLAN に使用)
GRES(グレースフル ルーティング エンジン スイッチオーバー)
バーチャルシャーシ 構成
リンク アグリゲーション グループ(LAG)
シングル サプリカント、シングルセキュア サプリカント、またはマルチ サプリカント モードでの 802.1X ユーザー認証
手記:801.X ユーザー認証をシングルセキュア サプリカントまたはマルチ サプリカント モードで実装する場合は、次の設定ガイドラインに従ってください。
802.1X インターフェイスがタグなしの MAC ベース VLAN の一部であり、その VLAN で IP ソース ガードと DHCP スヌーピングを有効にする場合は、インターフェイスにタグなしのメンバーシップがあるすべてのダイナミック VLAN で IP ソース ガードと DHCP スヌーピングを有効にする必要があります。これは、IPv6 ソース ガードと DHCPv6 スヌーピングにも適用されます。
802.1X インターフェイスがタグ付き MAC ベース VLAN の一部であり、その VLAN で IP ソース ガードと DHCP スヌーピングを有効にする場合は、インターフェイスがメンバーシップにタグを付けているすべてのダイナミック VLAN で IP ソース ガードと DHCP スヌーピングを有効にする必要があります。これは、IPv6 ソース ガードと DHCPv6 スヌーピングにも適用されます。