例:ARP スプーフィング攻撃からの保護
ARPスプーフィング攻撃では、攻撃者は自分のMACアドレスをスイッチに接続されたネットワークデバイスのIPアドレスに関連付けます。そのIPアドレス宛てのトラフィックは、意図した宛先に送信されるのではなく、攻撃者に送信されるようになりました。攻撃者は、LAN 上で偽の、つまり「スプーフィングされた」ARP メッセージを送信できます。
ダイナミック ARP インスペクション(DAI)が有効になっている場合、スイッチは、各インターフェイスで受信した無効な ARP パケットの数と、送信者の IP アドレスおよび MAC アドレスを記録します。これらのログ メッセージを使用して、ネットワーク上の ARP スプーフィングを発見できます。ARP プローブ パケットは、ダイナミック ARP インスペクションの対象にはなりません。スイッチは常にこのようなパケットを転送します。
この例では、ARP スプーフィング攻撃からスイッチを保護するために、2 つのポート セキュリティ機能である DHCP スヌーピングとダイナミック ARP インスペクション(DAI)を設定する方法を説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX シリーズ スイッチまたは 1 つのQFX3500 スイッチ
EX シリーズスイッチの場合は Junos OS リリース 11.4 以降、QFX シリーズの場合は Junos OS リリース 12.1 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
ARP スプーフィング攻撃を軽減するために DHCP スヌーピングと DAI(2 つのポート セキュリティ機能)を設定する前に、以下のことを実行したか確認してください。
DHCPサーバーをスイッチに接続していること。
スイッチにVLANが設定されている。お使いのプラットフォームのタスクを参照してください。
例:QFX シリーズ スイッチのスイッチで複数の VLAN を使用したブリッジングを設定する
概要とトポロジー
イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。この例では、一般的な攻撃タイプの 1 つである ARP スプーフィング攻撃からスイッチを保護する方法を説明します。
ARP スプーフィング攻撃では、攻撃者が偽の ARP メッセージを送信することで、LAN 上にさまざまな問題が生じます。たとえば、攻撃者は中間者攻撃を仕掛ける可能性があります。
この例では、DHCP サーバに接続されたスイッチのポート セキュリティ機能を設定する方法を示します。この例のセットアップには、スイッチ上の VLAN employee-vlan が含まれています。その VLANを作成する手順は、トピック「例:EXシリーズスイッチの複数のVLANを使用したブリッジングの設定 」および 例:QFXシリーズの スイッチで複数のVLANを使用したブリッジングの設定 で説明されています。この手順はここでは繰り返されません。 図 1 に、この例のトポロジーを示します。
位相幾何学
この例のトポロジーのコンポーネントを 表 1 に示します。
プロパティ | 設定 |
---|---|
スイッチ ハードウェア |
1 つの EX3200-24P、24 ポート(8 PoE ポート)または 1 つのQFX3500スイッチ |
VLAN 名および ID |
従業員-VLAN、タグ 20 |
VLANサブネット |
192.0.2.16/28192.0.2.17〜192.0.2.30192.0.2.31は、サブネットのブロードキャストアドレスです |
従業員 VLAN のインターフェイス |
ge-0/0/1,ge-0/0/2、ge-0/0/3、ge-0/0/8 |
DHCP サーバーのインターフェイス |
ge-0/0/8 |
この例では、スイッチはすでに次のように設定されています。
スイッチでセキュアポートアクセスがアクティブになります。
DHCPスヌーピングは、 VLAN従業員VLANでは無効です。
すべてのアクセス ポートは信頼できません。これがデフォルト設定です。
構成
ARP攻撃からスイッチを保護するために、DHCPスヌーピングおよびDAI(Dynamic ARP Inspection)を設定するには、次の手順に従います。
プロシージャ
CLIクイック構成
DHCP スヌーピングとダイナミック ARP インスペクション(DAI)を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted user@switch# set vlan employee-vlan examine-dhcp user@switch# set vlan employee-vlan arp-inspection
手順
VLAN で DHCP スヌーピングおよびダイナミック ARP インスペクション(DAI)を設定します。
ge-0/0/8 インターフェイスを信頼済みとして設定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
VLAN で DHCP スヌーピングを有効にします。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
VLAN で DAI を有効にします。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
業績
構成の結果を確認します。
[edit ethernet-switching-options secure-access-port] user@switch# show interface ge-0/0/8.0 { dhcp-trusted; } vlan employee-vlan { arp-inspection; examine-dhcp; }
検証
設定が正常に機能していることを確認します。
DHCPスヌーピングがスイッチ上で正しく動作していることの確認
目的
DHCPスヌーピングがスイッチで動作していることを確認します。
アクション
スイッチに接続されたネットワークデバイス(ここではDHCPクライアント)からDHCPリクエストを送信します。
DHCP サーバがスイッチに接続するポートが信頼できる場合に、DHCP スヌーピング情報を表示します。要求が MAC アドレスから送信され、サーバーが IP アドレスとリースを提供した場合、次の出力結果になります。
user@switch> show dhcp-snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee-vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee-vlan ge-0/0/3.0
意味
DHCP サーバーがスイッチに接続するインターフェイスが信頼済みに設定されている場合、出力(前のサンプルを参照)には、MAC アドレスごとに、割り当てられた IP アドレスとリース時間(リースの有効期限が切れるまでの残り時間(秒単位)が表示されます。
スイッチで DAI が正しく動作していることの検証
目的
DAI がスイッチで動作していることを確認します。
アクション
スイッチに接続されたネットワーク デバイスからARP 要求をいくつか送信する。
DAI 情報を表示します。
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意味
サンプル出力には、インターフェイスごとに受信および検査された ARP パケットの数と、各インターフェイスで検査に合格したパケット数と失敗したパケット数のリストが表示されます。スイッチは、ARP 要求および応答を DHCP スヌーピング データベースのエントリと比較します。ARP パケット内の MAC アドレスまたは IP アドレスがデータベース内の有効なエントリと一致しない場合、パケットはドロップされます。