スイッチのポートセキュリティのための IP ソースガードについて

イーサネットLANスイッチは、送信元IPアドレスまたは送信元MACアドレスのなりすまし(偽造)を伴う攻撃に対して脆弱です。IPソースガードアクセスポートセキュリティ機能を使用して、これらの攻撃の影響を緩和できます。

IP アドレススプーフィング

アクセスインターフェイス上のホストは、無効なアドレスを含むパケットをスイッチにフラッディングすることで、送信元 IP アドレスや送信元 MAC アドレスをスプーフィングできます。このような攻撃をTCP SYNフラッド攻撃などの他の手法と組み合わせると、サービス拒否(DoS)攻撃を引き起こす可能性があります。送信元 IP アドレスまたは送信元 MAC アドレスのなりすましでは、システム管理者は攻撃元を特定できません。攻撃者は、同じサブネットまたは別のサブネット上のアドレスをスプーフィングできます。

IPソースガードの仕組み

IPソースガードは、スイッチ上の信頼できないアクセスインターフェイスに接続されたホストから送信された各パケットを調べます。ホストに関連付けられているIPアドレス、MACアドレス、VLAN、およびインターフェイスは、DHCPスヌーピングデータベースに保存されているエントリと照合されます。パケットヘッダーが DHCP スヌーピングデータベースの有効なエントリと一致しない場合、スイッチはパケットを転送しません。つまり、パケットは廃棄されます。

手記：

スイッチがELS(拡張レイヤー2ソフトウェア)設定スタイルをサポートするEXシリーズでJunos OSを使用している場合、VLANでIPソースガードを有効にすると、DHCPスヌーピングが自動的に有効になります。 IPソースガード(ELS)の設定を参照してください。
スイッチが拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートせずにEXシリーズでJunos OSを使用している場合、VLANでIPソースガードを有効にする場合は、そのVLANでDHCPスヌーピングも明示的に有効にする必要があります。それ以外の場合、デフォルト値の DHCP スヌーピングなしが VLAN に適用されます。 IPソースガードの設定(非ELS)を参照してください。

IP ソースガードは、VLAN 上の信頼できないアクセスインターフェイスから送信されたパケットを検査します。デフォルトでは、アクセスインターフェイスは信頼されず、トランクインターフェイスは信頼されます。IPソースガードは、DHCPサーバーをそのインターフェイスに接続して動的IPアドレスを提供できるように、信頼できるインターフェイスに接続されたデバイスからスイッチに送信されたパケットを検査しません。

手記：

EX9200スイッチでは、トランクインターフェイスを untrusted として設定することで、IPソースガードをサポートすることができます。

IPv6ソースガード

IPv6ソースガードは、DHCPv6 スヌーピングをサポートするスイッチで使用できます。スイッチが DHCPv6 スヌーピングをサポートしているかどうかを確認するには、 Feature Explorerを参照してください。

DHCP スヌーピングテーブル

IP ソースガードは、DHCP スヌーピングテーブル(DHCP バインディングテーブルとも呼ばれる)から、IP アドレスから MAC アドレスバインディング(IP-MAC バインディング)に関する情報を取得します。DHCP スヌーピングテーブルは、ダイナミック DHCP スヌーピング、または特定のスタティック IP アドレスから MAC アドレスへのバインディングの設定によって入力されます。DHCP スヌーピングテーブルの詳細については、 DHCP スヌーピング(ELS)についてを参照してください。

DHCP スヌーピングテーブルを表示するには、スイッチの CLI に表示される動作モードコマンドを発行します。

DHCPスヌーピングの場合:

(非ELSスイッチの場合) show ip-source-guard
(ELSスイッチのみ) show dhcp-security binding

DHCPv6スヌーピングの場合:

(非ELSスイッチの場合) show dhcpv6 snooping binding
(ELSスイッチのみ) show dhcp-security ipv6 binding

IPソースガードを使用したその他の Junos OS 機能の一般的な使用法

IPソースガードは、その他さまざまなポートセキュリティ機能と一緒に設定できます。

VLAN タギング(音声 VLAN に使用)
GRES(グレースフルルーティングエンジンスイッチオーバー)
バーチャルシャーシ構成
リンクアグリゲーショングループ(LAG)
シングルサプリカント、シングルセキュアサプリカント、またはマルチサプリカントモードでの 802.1X ユーザー認証
手記：
801.X ユーザー認証をシングルセキュアサプリカントまたはマルチサプリカントモードで実装する場合は、次の設定ガイドラインに従ってください。
- 802.1X インターフェイスがタグなしの MAC ベース VLAN の一部であり、その VLAN で IP ソースガードと DHCP スヌーピングを有効にする場合は、インターフェイスにタグなしのメンバーシップがあるすべてのダイナミック VLAN で IP ソースガードと DHCP スヌーピングを有効にする必要があります。これは、IPv6 ソースガードと DHCPv6 スヌーピングにも適用されます。
- 802.1X インターフェイスがタグ付き MAC ベース VLAN の一部であり、その VLAN で IP ソースガードと DHCP スヌーピングを有効にする場合は、インターフェイスがメンバーシップにタグを付けているすべてのダイナミック VLAN で IP ソースガードと DHCP スヌーピングを有効にする必要があります。これは、IPv6 ソースガードと DHCPv6 スヌーピングにも適用されます。

このページの目次

スイッチのポート セキュリティのための IP ソース ガードについて

IP アドレス スプーフィング

IPソース ガードの仕組み

IPv6ソース ガード

DHCP スヌーピング テーブル

IPソース ガードを使用したその他の Junos OS 機能の一般的な使用法

関連ドキュメント