例:DHCP スヌーピング データベース攻撃からの保護
DHCP スヌーピング データベースに対する攻撃の一種として、侵入者は、別の信頼できないインターフェイス上のクライアントと同じ MAC アドレスを持つ、信頼できないアクセス インターフェイス上の DHCP クライアントを導入します。次に、侵入者はその他のクライアントのDHCPリースを取得し、DHCPスヌーピングテーブルのエントリを変更します。その後、正当なクライアントからの有効なARP要求がブロックされます。
次に、DHCP スヌーピング データベース改ざん攻撃からスイッチを保護するために、許可された MAC アドレス(ポート セキュリティ機能)を設定する例を示します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX シリーズ スイッチまたは 1 つのQFX3500 スイッチ
EX シリーズスイッチの場合は Junos OS リリース 11.4 以降、QFX シリーズの場合は Junos OS リリース 12.1 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
一般的なアクセスインテフェイス攻撃を軽減するために特定のポートセキュリティ機能を設定する前に、以下のことを実行したか確認してください。
DHCPサーバーをスイッチに接続していること。
スイッチにVLANが設定されている。お使いのプラットフォームのタスクを参照してください。
概要とトポロジー
イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。この例では、一部のクライアントに割り当てられた MAC アドレスを変更する DHCP スヌーピング データベースへの攻撃からスイッチを保護する方法について説明します。
この例では、DHCP サーバに接続されたスイッチのポート セキュリティ機能を設定する方法を示します。
この例のセットアップには、スイッチ上の VLAN employee-vlan が含まれています。 図 1 に、この例のトポロジーを示します。
位相幾何学
この例のトポロジーのコンポーネントを 表 1 に示します。
プロパティ | 設定 |
---|---|
スイッチ ハードウェア |
1 つの EX3200-24P、24 ポート(8 PoE ポート)または 1 つのQFX3500スイッチ |
VLAN 名および ID |
従業員-VLAN、タグ20 |
VLANサブネット |
192.0.2.16/28 192.0.2.17 から 192.0.2.30192.0.2.31 は、サブネットのブロードキャストアドレスです |
従業員 VLAN のインターフェイス |
ge-0/0/1、 ge-0/0/2、 ge-0/0/3、 ge-0/0/8 |
DHCP サーバーのインターフェイス |
ge-0/0/8 |
この例では、スイッチはすでに次のように設定されています。
スイッチでセキュアポートアクセスがアクティブになります。
DHCPスヌーピングは、 VLAN従業員VLANで有効です。
すべてのアクセス ポートは信頼できません。これがデフォルト設定です。
構成
DHCP スヌーピング データベース改ざん攻撃からスイッチを保護するために、許可された MAC アドレスを設定するには:
プロシージャ
CLIクイック構成
インターフェイスで許可されたMACアドレスをすばやく設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
手順
インターフェイスで許可されたMACアドレスを設定するには:
インターフェイスで許可される 5 つの MAC アドレスを設定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
業績
構成の結果を確認します。
[edit ethernet-switching-options secure-access-port] user@switch# show interface ge-0/0/2.0 { allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85 :3a:82:85 00:05:85:3a:82:88 ]; }
検証
設定が正常に機能していることを確認します。
許可されたMACアドレスがスイッチで正しく動作していることの確認
目的
許可されたMACアドレスがスイッチで機能していることを確認します。
アクション
MAC キャッシュ情報を表示します。
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意味
出力は、許可されたMACアドレスとして設定された5つのMACアドレスが学習され、MACキャッシュに表示されていることを示しています。リストの最後の MAC アドレス(許可として設定されていないアドレス)は、学習済みアドレスのリストに追加されていません。