例:信頼できないアクセス インターフェイスに対するアドレス スプーフィング攻撃を緩和するために、他のEXシリーズ スイッチ機能と共にIPソース ガードを設定する
イーサネットLANスイッチは、送信元IPアドレスまたは送信元MACアドレスのなりすまし(偽造)を伴う攻撃に対して脆弱です。これらのスプーフィングされたパケットは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されます。EXシリーズスイッチでIPソースガードポートのセキュリティ機能を有効にして、このような攻撃の影響を軽減できます。着信パケットのバインディング内の送信元 IP アドレスと送信元 MAC アドレスが無効であると IP ソース ガードが判断した場合、スイッチはパケットを転送しません。
IPソース ガードを他のEXシリーズ スイッチ機能と組み合わせて使用することで、信頼できないアクセス インターフェイスに対するアドレススプーフィング攻撃を緩和できます。この例では、2 つの設定シナリオを示します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
EXシリーズスイッチ
EX シリーズ スイッチ向けの Junos OS リリース 9.2 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
802.1X認証を提供するRADIUSサーバー
この例に関連するシナリオでIPソース ガードを設定する前に、以下が完了していることを確認してください。
DHCPサーバーをスイッチに接続していること。
RADIUSサーバーをスイッチに接続し、RADIUSサーバーでユーザー認証を構成していること。 「 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続する」を参照してください。
スイッチに設定されたVLAN。この例では、
DATAとGUESTという名前の2つのVLANがあります。DATAVLAN はvlan-id300で設定されます。ゲスト VLAN として機能するGUESTVLANは、vlan-id 100で設定されます。VLAN の設定の詳細については 、「 例:EX シリーズ スイッチの複数の VLAN によるブリッジングの設定 」を参照してください。
概要とトポロジー
IP ソース ガードは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されたパケットの IP ソース アドレスと MAC ソース アドレスをチェックします。IP ソース ガードが、パケット ヘッダーに無効な送信元 IP アドレスまたは送信元 MAC アドレスが含まれていると判断した場合、スイッチがパケットを転送しない、つまりパケットが廃棄されるようにします。
IPソース ガードを設定する場合は、1 つ以上の VLAN で有効にします。IPソース ガードは、これらの VLAN 上の信頼できないアクセス インターフェイスにチェック ルールを適用します。デフォルトでは、EX シリーズ スイッチでは、アクセス インターフェイスは信頼されず、トランク インターフェイスは信頼されます。IP ソース ガードは、トランク インターフェイスまたは信頼できるアクセス インターフェイス(つまり、 dhcp-trusted が設定されたインターフェイス)に接続されたデバイスからスイッチに送信されたパケットをチェックしません。DHCP サーバーを dhcp-trusted インターフェイスに接続して、動的 IP アドレスを提供できます。
IP ソース ガードは、DHCP スヌーピング データベースから IP アドレス、MAC アドレス、または VLAN バインディングに関する情報を取得することで、スイッチが着信 IP パケットをそのデータベース内のエントリと照合して検証できるようになります。
位相幾何学
この例のトポロジーには、DHCPサーバーとRADIUSサーバーの両方に接続されたEXシリーズスイッチが含まれています。
この例で適用される 802.1X ユーザー認証は、シングル サプリカント モード用です。
IPソース ガードは、シングルセキュア サプリカントまたはマルチ サプリカント モードに対して、802.1X ユーザー認証で使用できます。シングルセキュア サプリカントまたはマルチ サプリカント モードで 802.1X 認証を使用する IP ソース ガードを実装する場合は、次の設定ガイドラインを使用する必要があります。
802.1X インターフェイスがタグなしの MAC ベース VLAN の一部であり、その VLAN で IP ソース ガードと DHCP スヌーピングを有効にする場合は、インターフェイスにタグなしのメンバーシップがあるすべてのダイナミック VLAN で IP ソース ガードと DHCP スヌーピングを有効にする必要があります。
802.1X インターフェイスがタグ付き MAC ベース VLAN の一部であり、その VLAN で IP ソース ガードと DHCP スヌーピングを有効にする場合は、インターフェイスがメンバーシップにタグを付けているすべてのダイナミック VLAN で IP ソース ガードと DHCP スヌーピングを有効にする必要があります。
最初の設定例では、2つのクライアント(ネットワーク デバイス)がアクセス スイッチに接続されています。IPソースガードと802.1Xユーザー認証を、DHCPスヌーピングとダイナミックARPインスペクション(DAI)という2つのアクセスポートセキュリティ機能と組み合わせて設定します。この設定は、 ping of death 攻撃、DHCPスターベーション、ARPスプーフィングなどのIP攻撃からスイッチを保護するように設計されています。
2 番目の設定例では、スイッチは 802.1X ユーザー認証用に設定されています。クライアントが認証に失敗した場合、スイッチはクライアントをゲスト VLAN にリダイレクトし、このクライアントが一連の制限付きネットワーク機能にアクセスできるようにします。ゲスト VLAN に IP ソース ガードを設定し、ソース IP スプーフィングの影響を軽減します。
デバッグのために、traceoptions ステートメントに ip-source-guard フラグを設定できます。
802.1X認証、DHCPスヌーピング、ダイナミックARPインスペクションによるIPソース ガードの設定
プロシージャ
CLIクイック構成
802.1X認証やその他のアクセスポートのセキュリティ機能を使用してIPソースガードを迅速に設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set ethernet-switching-options secure-access-port interface ge-0/0/24 dhcp-trusted set ethernet-switching-options secure-access-port vlan DATA examine-dhcp set ethernet-switching-options secure-access-port vlan DATA arp-inspection set ethernet-switching-options secure-access-port vlan DATA ip-source-guard set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members DATA set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members DATA set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members DATA set protocols lldp-med interface ge-0/0/0.0 set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/0.0 supplicant single set protocols lldp-med interface ge-0/0/1.0 set protocols dot1x authenticator interface ge-0/0/1.0 supplicant single
手順
802.1X認証とさまざまなポートセキュリティ機能を備えたIPソースガードを設定するには、次の手順に従います。
DHCP サーバーがスイッチに接続されているインターフェイスを信頼できるインターフェイスとして設定し、そのインターフェイスを
DATAVLAN に追加します。[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24 dhcp-trusted user@switch# set set ge-0/0/24 unit 0 family ethernet-switching vlan members DATA
他の 2 つのアクセス インターフェイス(信頼できない)を DATA VLAN に関連付けます。
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members DATA user@switch# set ge-0/0/1 unit 0 family ethernet-switching vlan members DATA
DATA VLANに関連付けた2つのインターフェイスで802.1Xユーザー認証とLLDP-MEDを設定します。
[edit protocols] user@switch# set lldp-med interface ge-0/0/0.0 user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/0.0 supplicant single user@switch# set lldp-med interface ge-0/0/1.0 user@switch# set dot1x authenticator interface ge-0/0/1.0 supplicant single
DATAVLANには、DHCPスヌーピング、DAI(Dynamic ARP Inspection)、IPソース ガードの3つのアクセスポートセキュリティ機能を設定します。[edit ethernet-switching-options] user@switch# set secure-access-port vlan DATA examine-dhcp user@switch# set secure-access-port vlan DATA arp-inspection user@switch# set secure-access-port vlan DATA ip-source-guard
業績
構成の結果を確認します。
[edit ethernet-switching-options]
secure-access-port {
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan DATA {
arp-inspection;
examine-dhcp;
ip-source-guard;
}
}
[edit interfaces]
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
[edit protocols]
lldp-med {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
dot1x {
authenticator {
authentication-profile-name profile52;
}
interface {
ge-0/0/0.0 {
supplicant single;
}
ge-0/0/1.0 {
supplicant single;
}
}
}
ゲスト VLAN での IP ソース ガードの設定
プロシージャ
CLIクイック構成
ゲストVLANでIPソースガードを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set ethernet-switching-options secure-access-port interface ge-0/0/24 dhcp-trusted set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members GUEST set ethernet-switching-options secure-access-port vlan GUEST examine-dhcp set ethernet-switching-options secure-access-port vlan GUEST ip-source-guard set ethernet-switching-options secure-access-port interface ge-0/0/0 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan GUEST set ethernet-switching-options secure-access-port interface ge-0/0/1 static-ip 10.1.1.2 mac 00:22:22:22:22:22 vlan GUEST set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/0 supplicant single set protocols dot1x authenticator interface ge-0/0/0 guest-vlan GUEST set protocols dot1x authenticator interface ge-0/0/0 supplicant-timeout 2 set protocols dot1x authenticator interface ge-0/0/1 supplicant single set protocols dot1x authenticator interface ge-0/0/1 guest-vlan GUEST set protocols dot1x authenticator interface ge-0/0/1 supplicant-timeout 2
手順
ゲスト VLAN で IP ソース ガードを設定するには:
DHCP サーバーがスイッチに接続されているインターフェイスを信頼できるインターフェイスとして設定し、そのインターフェイスを
GUESTVLAN に追加します。[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24 dhcp-trusted user@switch# set ge-0/0/24 unit 0 family ethernet-switching vlan members GUEST
アクセス ポート モード用に 2 つのインターフェイスを設定します。
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/1 unit 0 family ethernet-switching port-mode access
GUESTVLAN で DHCP スヌーピングと IP ソース ガードを設定します。[edit ethernet-switching-options] user@switch# set secure-access-port vlan GUEST examine-dhcp user@switch# set secure-access-port vlan GUEST ip-source-guard
GUESTVLAN 上の 2 つの(信頼できない)インターフェイスそれぞれに静的 IP アドレスを設定します(オプション)。[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/0 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan GUEST
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/1 static-ip 10.1.1.2 mac 00:22:22:22:22:22 vlan GUEST
802.1X ユーザー認証を構成します。
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/0 supplicant single user@switch# set dot1x authenticator interface ge-0/0/1 supplicant single user@switch# set dot1x authenticator interface ge-0/0/0 supplicant-timeout 2 user@switch# set dot1x authenticator interface ge-0/0/1 supplicant-timeout 2
業績
構成の結果を確認します。
[edit protocols]
dot1x {
authenticator {
authentication-profile-name profile52;
}
interface {
ge-0/0/0.0 {
guest-vlan GUEST;
supplicant single;
supplicant-timeout 2;
}
ge-0/0/1.0 {
guest-vlan GUEST;
supplicant single;
supplicant-timeout 2;
}
}
}
}
[edit vlans]
GUEST {
vlan-id 100;
}
[edit interfaces]
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members GUEST;
}
}
}
}
[edit ethernet-switching-options]
secure-access-port {
interface ge-0/0/0.0 {
static-ip 10.1.1.1 vlan GUEST mac 00:11:11:11:11:11;
}
interface ge-0/0/1.0 {
static-ip 10.1.1.2 vlan GUEST mac 00:22:22:22:22:22;
}
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan GUEST {
examine-dhcp;
ip-source-guard;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- インターフェイスで 802.1X ユーザー認証が機能していることの検証
- VLAN とインターフェイスの関連付けの検証
- VLANでDHCPスヌーピングが動作していることの確認
- IPソース ガードがVLANで動作していることの検証
インターフェイスで 802.1X ユーザー認証が機能していることの検証
目的
インターフェイスで 802.1X 設定が機能していることを確認します。
アクション
user@switch> show dot1x interface ge/0/0/0.0 detail
ge-0/0/0.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 2
Quiet period: 30 seconds
Transmit period: 15 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 2 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: GUEST
Number of connected supplicants: 1
Supplicant: md5user01, 00:30:48:90:53:B7
Operational state: Authenticated
Backend Authentication state: Idle
Authentcation method: Radius
Authenticated VLAN: DATA
Session Reauth interval: 3600 seconds
Reauthentication due in 3581 seconds
意味
Supplicant modeフィールドには、各インターフェイスに設定された管理モードが表示されます。[Guest VLAN member] フィールドには、ゲスト VLAN を使用してサプリカントが認証されたときに、サプリカントが接続されている VLAN が表示されます。[Authenticated VLAN] フィールドには、サプリカントが接続されている VLAN が表示されます。
VLAN とインターフェイスの関連付けの検証
目的
インターフェイスの状態とVLANメンバーシップを検証します。
アクション
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking ge-0/0/0.0 up DATA 101 untagged unblocked ge-0/0/1.0 up DATA 101 untagged unblocked ge-0/0/24 up DATA 101 untagged unblocked
意味
VLAN members フィールドには、VLAN とインターフェイス間の関連付けが表示されます。Stateフィールドは、インターフェイスがアップしているかダウンしているかを示します。
ゲスト VLAN 設定では、サプリカントが 802.1X ユーザー認証に失敗した場合、インターフェイスがゲスト VLAN に関連付けられます。
VLANでDHCPスヌーピングが動作していることの確認
目的
DHCP スヌーピングが有効になっていて、VLAN で動作していることを確認します。スイッチに接続されたネットワーク デバイス(DHCP クライアント)からいくつかの DHCP 要求を送信します。
アクション
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:30:48:90:53:B7 192.0.2.1 86392 dynamic DATA ge-0/0/24.0
意味
DHCP サーバーがスイッチに接続するインターフェイスが dhcp-trusted に設定されている場合、出力には、各 MAC アドレスについて、割り当てられた IP アドレスとリース時間(リースが期限切れになるまでの残り時間(秒単位)が表示されます。静的 IP アドレスには、リース時間が割り当てられていません。静的に設定されたエントリに有効期限はありません。
IPソース ガードがVLANで動作していることの検証
目的
IPソース ガードが有効で、VLAN で動作していることを確認します。
アクション
user@switch> show ip-source-guard IP source guard information: Interface Tag IP Address MAC Address VLAN ge-0/0/0.0 0 192.0.2.2 00:30:48:90:63:B7 DATA ge-0/0/1.0 0 192.0.2.3 00:30:48:90:73:B7 DATA
意味
IP ソース ガード データベース テーブルには、IP ソース ガードが有効になっている VLAN、それらの VLAN 上の信頼できないアクセス インターフェイス、VLAN 802.1Q タグ ID (存在する場合)、および相互にバインドされている IP アドレスと MAC アドレスが含まれています。スイッチ インターフェイスが複数の VLAN に関連付けられており、一部の VLAN で IP ソース ガードが有効(または構成)され、他の VLAN で IP ソース ガードが有効になっていない場合、IP ソース ガードが有効になっていない VLAN には、 IP Address フィールドと MAC Address フィールドにアスタリスク(*)が表示されます。