Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

例:不正な DHCP サーバー攻撃からの保護

不正なDHCPサーバー攻撃では、攻撃者が不正なサーバーをネットワークに導入し、ネットワークのDHCPクライアントにIPアドレスリースを与え、自身をゲートウェイデバイスとして割り当てることができます。

この例では、不正なDHCPサーバーからスイッチを保護するために、DHCPサーバーインターフェイスを信頼できないものとして設定する方法を説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1 つの EX シリーズ スイッチまたは 1 つのQFX3500 スイッチ

  • EX シリーズ スイッチの場合は Junos OS リリース 9.0 以降、QFX シリーズの場合は Junos OS リリース 12.1 以降

  • スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー

不正な DHCP サーバー攻撃を軽減するために信頼されていない DHCP サーバー インターフェイスを構成する前に、以下を確認してください。

  • DHCPサーバーをスイッチに接続していること。

  • VLANでDHCPスヌーピングを有効にしました。

  • スイッチにVLANが設定されている。お使いのプラットフォームのタスクを参照してください。

概要とトポロジー

イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。この例では、不正なDHCPサーバ攻撃からスイッチを保護する方法を説明します。

この例では、EX3200-24PスイッチとQFX3500スイッチで信頼できないインターフェイスを明示的に設定する方法を示しています。 図 1 に、この例のトポロジーを示します。

トポロジ

図1:基本的なポートセキュリティ Network Topology for Basic Port Securityのネットワークトポロジー

この例のトポロジーのコンポーネントを 表 1 に示します。

表 1: ポート セキュリティ トポロジのコンポーネント
プロパティ 設定

スイッチ ハードウェア

1 つの EX3200-24P、24 ポート(8 PoE ポート)または 1 つのQFX3500スイッチ

VLAN 名および ID

従業員-VLAN、タグ 20

VLANサブネット

192.0.2.16/28 192.0.2.17 から 192.0.2.30 192.0.2.31は、サブネットのブロードキャスト アドレスです

従業員 VLAN のインターフェイス

ge-0/0/1、ge-0/0/2、ge-0/0/3、ge-0/0/8

DHCP サーバーのインターフェイス

ge-0/0/8

この例では、スイッチはすでに次のように設定されています。

  • スイッチでセキュアポートアクセスがアクティブになります。

  • DHCPスヌーピングは、VLAN 従業員VLANで有効です。

  • 現在、不正なDHCPサーバーがスイッチに接続したインターフェイス(ポート)が信頼されています。

構成

インターフェイスが不正なDHCPサーバーによって使用されているため、DHCPサーバーインターフェイスを信頼できないものとして構成するには、次の手順に従います。

手順

CLIクイック構成

偽のDHCPサーバーインターフェイスを信頼できないものとしてすばやく設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

手順

DHCP サーバー インターフェイスを信頼できないインターフェイスとして設定するには:

  • DHCP応答を許可しないインターフェイス(ポート)を指定します。

結果

構成の結果を確認します。

検証

設定が正常に機能していることを確認します。

DHCP サーバー インターフェイスが信頼できないことを確認する

目的

DHCP サーバーが信頼できないことを確認します。

アクション

  1. スイッチに接続されたネットワークデバイス(ここではDHCPクライアント)からDHCPリクエストを送信します。

  2. DHCP サーバがスイッチに接続するポートが信頼できない場合に、DHCP スヌーピング情報を表示します。

意味

DHCPスヌーピングデータベースにエントリが追加されていないため、コマンドからの出力はありません。

関連ドキュメント