例:不正な DHCP サーバー攻撃からの保護
不正なDHCPサーバー攻撃では、攻撃者が不正なサーバーをネットワークに導入し、ネットワークのDHCPクライアントにIPアドレスリースを与え、自身をゲートウェイデバイスとして割り当てることができます。
この例では、不正なDHCPサーバーからスイッチを保護するために、DHCPサーバーインターフェイスを信頼できないものとして設定する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX シリーズ スイッチまたは 1 つのQFX3500 スイッチ
EX シリーズ スイッチの場合は Junos OS リリース 9.0 以降、QFX シリーズの場合は Junos OS リリース 12.1 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
不正な DHCP サーバー攻撃を軽減するために信頼されていない DHCP サーバー インターフェイスを構成する前に、以下を確認してください。
DHCPサーバーをスイッチに接続していること。
VLANでDHCPスヌーピングを有効にしました。
スイッチにVLANが設定されている。お使いのプラットフォームのタスクを参照してください。
概要とトポロジー
イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。この例では、不正なDHCPサーバ攻撃からスイッチを保護する方法を説明します。
この例では、EX3200-24PスイッチとQFX3500スイッチで信頼できないインターフェイスを明示的に設定する方法を示しています。 図 1 に、この例のトポロジーを示します。
トポロジ
この例のトポロジーのコンポーネントを 表 1 に示します。
プロパティ | 設定 |
---|---|
スイッチ ハードウェア |
1 つの EX3200-24P、24 ポート(8 PoE ポート)または 1 つのQFX3500スイッチ |
VLAN 名および ID |
従業員-VLAN、タグ 20 |
VLANサブネット |
192.0.2.16/28 192.0.2.17 から 192.0.2.30 192.0.2.31は、サブネットのブロードキャスト アドレスです |
従業員 VLAN のインターフェイス |
ge-0/0/1、ge-0/0/2、ge-0/0/3、ge-0/0/8 |
DHCP サーバーのインターフェイス |
ge-0/0/8 |
この例では、スイッチはすでに次のように設定されています。
スイッチでセキュアポートアクセスがアクティブになります。
DHCPスヌーピングは、VLAN 従業員VLANで有効です。
現在、不正なDHCPサーバーがスイッチに接続したインターフェイス(ポート)が信頼されています。
構成
インターフェイスが不正なDHCPサーバーによって使用されているため、DHCPサーバーインターフェイスを信頼できないものとして構成するには、次の手順に従います。
手順
CLIクイック構成
偽のDHCPサーバーインターフェイスを信頼できないものとしてすばやく設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
手順
DHCP サーバー インターフェイスを信頼できないインターフェイスとして設定するには:
DHCP応答を許可しないインターフェイス(ポート)を指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
結果
構成の結果を確認します。
[edit ethernet-switching-options secure-access-port] user@switch# show interface ge-0/0/8.0 { no-dhcp-trusted; }