Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:ARP スプーフィング攻撃からの保護

ARP スプーフィング攻撃では、攻撃者は自身の MAC アドレスをスイッチに接続されたネットワーク デバイスの IP アドレスに関連付けます。この IP アドレスを想定したトラフィックは、意図した宛先に送信されるのではなく、攻撃者に送信されるようになりました。攻撃者は、LAN 上で偽の「スプーフィング」ARP メッセージを送信できます。

メモ:

DAI(Dynamic ARP Inspection)が有効になっている場合、スイッチは、各インターフェイスで受信した無効なARPパケットの数と、送信者のIPアドレスとMACアドレスをログに記録します。これらのログ メッセージを使用して、ネットワーク上の ARP スプーフィングを検出できます。ARP プローブ パケットは、動的 ARP インスペクションの対象にはなりません。スイッチは常にそのようなパケットを転送します。

この例では、DHCP スヌーピングと DAI(Dynamic ARP Inspection)、2 つのポート セキュリティ機能を設定して、スイッチを ARP スプーフィング攻撃から保護する方法について説明します。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • EXシリーズスイッチ1台またはQFX3500スイッチ1台

  • QFX シリーズの EX シリーズ スイッチまたは Junos OS リリース 12.1 以降の Junos OS リリース 11.4 以降

  • スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー

DHCP スヌーピングと DAI(2 つのポート セキュリティ機能)を設定して ARP スプーフィング攻撃を緩和する前に、次の機能を備えていることを確認してください。

概要とトポロジー

イーサネット LAN は、ネットワーク デバイスに対するスプーフィングや DoS 攻撃に対して脆弱です。この例では、1 つの一般的なタイプの攻撃、ARP スプーフィング攻撃からスイッチを保護する方法について説明します。

ARP スプーフィング攻撃では、攻撃者が偽の ARP メッセージを送信し、LAN 上でさまざまなタイプの問題が発生します。たとえば、攻撃者が中間者攻撃を仕掛ける可能性があります。

この例では、DHCP サーバーに接続されているスイッチでポート セキュリティ機能を設定する方法を示しています。この例の設定には、スイッチ上の VLAN employee-vlan が含まれています。VLAN を作成する手順については、「 例: EX シリーズ スイッチ用の複数の VLAN を使用したブリッジングの設定 」および「例:QFX シリーズの スイッチ上で複数の VLAN を使用したブリッジングの設定 」で説明されています。この手順はここでは繰り返されません。 図 1 は、この例のトポロジーを示しています。

トポロジ

図 1:基本的なポート セキュリティ Network Topology for Basic Port Securityのためのネットワーク トポロジー

この例のトポロジーのコンポーネントを 表 1 に示します。

表 1:ポート セキュリティ トポロジのコンポーネント
プロパティ 設定

スイッチ ハードウェア

EX3200-24P x 1、24 ポート(PoE ポート x 8)または QFX3500 スイッチ x 1

VLAN 名と ID

employee-vlan、タグ 20

VLAN サブネット

192.0.2.16/28 192.0.2.17 ~ 192.0.2.30192.0.2.31 はサブネットのブロードキャストアドレス

employee-vlan のインターフェイス

ge-0/0/1ge-0/0/2ge-0/0/3ge-0/0/8

DHCP サーバー用インターフェイス

ge-0/0/8

この例では、スイッチはすでに次のように設定されています。

  • セキュアなポート アクセスがスイッチでアクティブ化されます。

  • VLAN 従業員-vlan で DHCP スヌーピングが無効になっています。

  • すべてのアクセス ポートは信頼されません。これはデフォルト設定です。

構成

DHCP スヌーピングと DAI(Dynamic ARP Inspection)を設定して、スイッチを ARP 攻撃から保護するには、次の手順にしたがってください。

手順

CLI クイック設定

DHCP スヌーピングと DAI(Dynamic ARP Inspection)を迅速に設定するには、次のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

手順

VLAN で DHCP スヌーピングと DAI(Dynamic ARP Inspection)を設定します。

  1. ge-0/0/8インターフェイスを信頼できるものとして設定します。

  2. VLAN で DHCP スヌーピングを有効にします。

  3. VLAN で DAI を有効にします。

結果

設定の結果を確認します。

検証

設定が正しく機能していることを確認します。

DHCP スヌーピングがスイッチで正しく機能していることを確認する

目的

DHCP スヌーピングがスイッチで機能していることを確認します。

アクション

スイッチに接続されたネットワーク デバイス(DHCP クライアント)から DHCP リクエストを送信します。

DHCP サーバーがスイッチに接続するポートが信頼されている場合、DHCP スヌーピング情報を表示します。MAC アドレスから要求が送信され、サーバーが IP アドレスとリースを指定した場合、次の出力結果が表示されます。

意味

DHCP サーバーがスイッチに接続するインターフェイスが信頼済みに設定されている場合、出力(前述のサンプルを参照)は、各 MAC アドレスに対して、割り当てられた IP アドレスとリース時間、つまりリース期限が切れる前の時間(秒単位)を示しています。

スイッチで DAI が正しく機能していることを確認する

目的

DAI がスイッチで動作していることを確認します。

アクション

スイッチに接続されたネットワーク デバイスから ARP リクエストを送信します。

DAI 情報を表示します。

意味

サンプル出力は、通過したパケット数と各インターフェイスのインスペクションに失敗した数のリストを含む、インターフェイスごとに受信および検査されたARPパケットの数を示しています。スイッチは、ARP 要求を比較し、DHCP スヌーピング データベース内のエントリーに対して応答します。ARP パケット内の MAC アドレスまたは IP アドレスがデータベース内の有効なエントリーと一致しない場合、パケットはドロップされます。