Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:DHCP スヌーピング データベース攻撃からの保護

DHCP スヌーピング データベースに対する攻撃の一種として、侵入者は、別の信頼できないインターフェイス上のクライアントと同じ MAC アドレスを持つ、信頼できないアクセス インターフェイス上の DHCP クライアントを導入します。次に、侵入者はその他のクライアントのDHCPリースを取得し、DHCPスヌーピングテーブルのエントリを変更します。その後、正当なクライアントからの有効なARP要求がブロックされます。

次に、DHCP スヌーピング データベース改ざん攻撃からスイッチを保護するために、許可された MAC アドレス(ポート セキュリティ機能)を設定する例を示します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1 つの EX シリーズ スイッチまたは 1 つのQFX3500 スイッチ

  • EX シリーズスイッチの場合は Junos OS リリース 11.4 以降、QFX シリーズの場合は Junos OS リリース 12.1 以降

  • スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー

一般的なアクセスインテフェイス攻撃を軽減するために特定のポートセキュリティ機能を設定する前に、以下のことを実行したか確認してください。

概要とトポロジー

イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。この例では、一部のクライアントに割り当てられた MAC アドレスを変更する DHCP スヌーピング データベースへの攻撃からスイッチを保護する方法について説明します。

この例では、DHCP サーバに接続されたスイッチのポート セキュリティ機能を設定する方法を示します。

この例のセットアップには、スイッチ上の VLAN employee-vlan が含まれています。 図 1 に、この例のトポロジーを示します。

位相幾何学

図1:基本的なポートセキュリティNetwork Topology for Basic Port Securityのネットワークトポロジ

この例のトポロジーのコンポーネントを 表 1 に示します。

表 1: ポート セキュリティ トポロジのコンポーネント
プロパティ 設定

スイッチ ハードウェア

1 つの EX3200-24P、24 ポート(8 PoE ポート)または 1 つのQFX3500スイッチ

VLAN 名および ID

従業員-VLAN、タグ20

VLANサブネット

192.0.2.16/28 192.0.2.17 から 192.0.2.30192.0.2.31 は、サブネットのブロードキャストアドレスです

従業員 VLAN のインターフェイス

ge-0/0/1ge-0/0/2ge-0/0/3ge-0/0/8

DHCP サーバーのインターフェイス

ge-0/0/8

この例では、スイッチはすでに次のように設定されています。

  • スイッチでセキュアポートアクセスがアクティブになります。

  • DHCPスヌーピングは、 VLAN従業員VLANで有効です。

  • すべてのアクセス ポートは信頼できません。これがデフォルト設定です。

構成

DHCP スヌーピング データベース改ざん攻撃からスイッチを保護するために、許可された MAC アドレスを設定するには:

プロシージャ

CLIクイック構成

インターフェイスで許可されたMACアドレスをすばやく設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

手順

インターフェイスで許可されたMACアドレスを設定するには:

インターフェイスで許可される 5 つの MAC アドレスを設定します。

業績

構成の結果を確認します。

検証

設定が正常に機能していることを確認します。

許可されたMACアドレスがスイッチで正しく動作していることの確認

目的

許可されたMACアドレスがスイッチで機能していることを確認します。

アクション

MAC キャッシュ情報を表示します。

意味

出力は、許可されたMACアドレスとして設定された5つのMACアドレスが学習され、MACキャッシュに表示されていることを示しています。リストの最後の MAC アドレス(許可として設定されていないアドレス)は、学習済みアドレスのリストに追加されていません。