例:不正な DHCP サーバー攻撃からの保護
不正な DHCP サーバー攻撃では、攻撃者が不正なサーバーをネットワークに導入し、ネットワークの DHCP クライアントに IP アドレスリースを与え、それ自体をゲートウェイ デバイスとして割り当てることができます。
この例では、不正な DHCP サーバーからスイッチを保護するために、DHCP サーバー インターフェイスを信頼できないものとして設定する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
EX シリーズ スイッチ 1 台または QFX3500 スイッチ 1 台
EX シリーズ スイッチの Junos OS リリース 9.0 以降、または QFX シリーズの Junos OS リリース 12.1 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
不正な DHCP サーバー攻撃を緩和するために信頼できない DHCP サーバー インターフェイスを構成する前に、以下を実行していることを確認してください。
DHCP サーバーをスイッチに接続しました。
VLAN で DHCP スヌーピングを有効にしました。
スイッチ上に VLAN を設定します。お使いのプラットフォームのタスクを参照してください。
概要とトポロジー
イーサネット LAN は、ネットワーク デバイスのスプーフィングや DoS 攻撃に対処する脆弱性があります。この例では、不正な DHCP サーバー攻撃からスイッチを保護する方法を説明します。
この例では、EX3200-24PスイッチとQFX3500スイッチで信頼できないインターフェイスを明示的に設定する方法を示します。 図 1 は、この例のトポロジーを示しています。
トポロジ
のネットワーク トポロジー
この例のトポロジーのコンポーネントを 表 1 に示します。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX3200-24P x 1、24 ポート(8 PoE ポート)または 1 台の QFX3500 スイッチ |
VLAN 名と ID |
employee-vlan、タグ 20 |
VLAN サブネット |
192.0.2.16/28 192.0.2.17 ~ 192.0.2.30192.0.2.31 はサブネットのブロードキャストアドレスです |
employee-vlan のインターフェイス |
ge-0/0/1、 ge-0/0/2、 ge-0/0/3、 ge-0/0/8 |
DHCP サーバーのインターフェイス |
ge-0/0/8 |
この例では、スイッチは既に以下のように設定されています。
セキュアポートアクセスは、スイッチ上でアクティブ化されます。
DHCP スヌーピングは、VLAN employee-vlan で有効になっています。
不正な DHCP サーバーがスイッチに接続されているインターフェイス(ポート)は、現在信頼されています。
構成
不正な DHCP サーバーによってインターフェイスが使用されているため、DHCP サーバー インターフェイスを信頼できないものとして設定するには、次の手順に従います。
手順
CLI クイックコンフィギュレーション
不正な DHCP サーバー インターフェイスを信頼できないものとして迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
手順
DHCP サーバー インターフェイスを信頼できないと設定するには、次の手順に従います。
DHCP 応答が許可されないインターフェイス(ポート)を指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
結果
設定の結果を確認します。
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}