例:攻撃からデバイスを保護するために、指定されたブリッジドメインでIPソースガードとダイナミックARPインスペクションを設定する
この例では、指定されたブリッジドメインでIPソースガードとダイナミックARPインスペクション(DAI)を有効にして、スプーフィングされたIP/MACアドレスとARPスプーフィング攻撃からデバイスを保護する方法を説明します。IP ソース ガードまたは DAI のいずれかをイネーブルにすると、同じブリッジ ドメインに対して DHCP スヌーピングが自動的にイネーブルになります。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MXシリーズルーター1台
Junos OSリリース14.1
デバイス上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
ARP スプーフィング攻撃を軽減するために IP/MAC スプーフィングや DAI を防止するために IP ソース ガードを設定する前に、以下が完了していることを確認してください。
DHCPサーバーをデバイスに接続していること。
DHCPセキュリティ機能を追加するブリッジドメインを設定済み。 MXシリーズルータークラウドCPEサービスのブリッジドメインの設定を参照してください。
概要とトポロジー
イーサネットLANデバイスは、送信元MACアドレスまたは送信元IPアドレスのなりすまし(偽造)を伴うセキュリティ攻撃に対して脆弱です。これらのスプーフィングされたパケットは、デバイス上の信頼できないアクセス インターフェイスに接続されたホストから送信されます。IP ソース ガードは、デバイス上の信頼できないアクセス インターフェイスに接続されたホストから送信されたパケットの IP ソース アドレスと MAC ソース アドレスを、DHCP スヌーピング データベースに保存されているエントリと照合します。IP ソース ガードが、パケット ヘッダーに無効な送信元 IP アドレスまたは送信元 MAC アドレスが含まれていると判断した場合、デバイスがパケットを転送しない、つまりパケットが廃棄されるようにします。
別のタイプのセキュリティ攻撃は、ARPスプーフィング(ARPポイズニングまたはARPキャッシュポイズニングとも呼ばれる)である。ARPスプーフィングは、中間者攻撃を開始する方法です。攻撃者は、ブリッジドメイン上の別のデバイスのMACアドレスをスプーフィングするARPパケットを送信します。デバイスは、適切なネットワーク デバイスにトラフィックを送信する代わりに、適切なデバイスになりすましているスプーフィングされたアドレスを持つデバイスにトラフィックを送信します。なりすましデバイスが攻撃者のマシンである場合、攻撃者は別のデバイスに移動するはずだったデバイスからのすべてのトラフィックを受信します。その結果、デバイスからのトラフィックの宛先が誤って表示され、適切な宛先に到達できません。
DAI が有効な場合、デバイスは各インターフェイスで受信した無効な ARP パケットの数を、送信者の IP アドレスおよび MAC アドレスとともに記録します。これらのログ メッセージを使用して、ネットワーク上の ARP スプーフィングを発見できます。
この例では、DHCP サーバに接続されたデバイスでこれらの重要なポート セキュリティ機能を設定する方法を示します。この例のセットアップには、スイッチング デバイスのブリッジ ドメイン employee-bdomain が含まれています。 図 1 に、この例のトポロジーを示します。
DHCP サーバー インターフェイスに接続するトランク インターフェイスは、デフォルトで信頼できるポートです。
位相幾何学
用スイッチング デバイス ネットワーク トポロジー
この例のトポロジーのコンポーネントを 表 1 に示します。
| プロパティ | 設定 |
|---|---|
デバイスハードウェア |
MXシリーズルーター1台 |
ブリッジドメイン名と ID |
|
ブリッジ ドメインのサブネット |
|
インターフェイス |
|
DHCPサーバーに接続するインターフェイス |
|
この例では、デバイスはすでに以下のように設定されています。
すべてのアクセス ポートは信頼できません。これがデフォルト設定です。
トランク ポート(ge-0/0/8)は信頼され、これがデフォルト設定です。
ブリッジドメイン(
employee-bdomain)は、指定されたインターフェイスを含むように設定されています。
構成
プロシージャ
CLIクイック構成
IP ソース ガードと DAI を迅速に設定するには(これにより、DHCP スヌーピングを自動的に設定して、IP スプーフィングと ARP 攻撃からデバイスを保護する)、次のコマンドをコピーしてデバイス端末ウィンドウに貼り付けます。
[edit] set bridge-domains employee-bdomain forwarding-options dhcp-security ip-source-guard set bridge-domains employee-bdomain forwarding-options dhcp-security arp-inspection
手順
ブリッジドメインでIPソースガードとDAIを設定する(これにより、DHCPスヌーピングも自動的に設定する)には、次の手順に従います。
ブリッジ ドメインで IP ソース ガードを設定します。
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set ip-source-guard
ブリッジ ドメインで DAI を有効にします。
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set arp-inspection
業績
構成の結果を確認します。
user@device> show bridge-domains employee-bdomain forwarding-options
employee-bdomain {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
検証
設定が正常に機能していることを確認します。
DHCPスヌーピングがデバイスで正しく動作していることの確認
目的
DHCPスヌーピングがデバイスで機能していることを確認します。
アクション
デバイスに接続されているネットワークデバイス(ここではDHCPクライアント)からいくつかのDHCP要求を送信します。
DHCPサーバがデバイスに接続するポートが信頼できる場合、DHCPスヌーピング情報を表示します。要求が MAC アドレスから送信され、サーバーが IP アドレスとリースを提供した場合、次の出力結果になります。
user@device> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
意味
DHCPサーバーがデバイスに接続するインターフェイスがtrustedに設定されている場合、出力(前のサンプルを参照)には、割り当てられたIPアドレスについて、デバイスのMACアドレス、VLAN名、およびリースが期限切れになるまでの残り時間(秒単位)が表示されます。
IPソース ガードがブリッジ ドメインで動作していることの確認
目的
IPソースガードが有効で、ブリッジドメインで動作していることを確認します。
アクション
デバイスに接続されているネットワークデバイス(ここではDHCPクライアント)からいくつかのDHCP要求を送信します。データ ブリッジ ドメインの IP ソース ガード情報を表示します。
user@device> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
意味
IP ソース ガード データベース テーブルには、IP ソース ガードが有効になっている VLAN とブリッジ ドメインが含まれています。
DAI がデバイスで正しく動作していることを確認する
目的
DAI がデバイスで動作していることを確認します。
アクション
デバイスに接続されたネットワークデバイスからARP要求を送信します。
DAI 情報を表示します。
user@device> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意味
サンプル出力には、インターフェイスごとに受信および検査された ARP パケットの数と、各インターフェイスで検査に合格したパケット数と失敗したパケット数のリストが表示されます。デバイスは、ARP 要求および応答を DHCP スヌーピング データベースのエントリと比較します。ARP パケット内の MAC アドレスまたは IP アドレスがデータベース内の有効なエントリと一致しない場合、パケットはドロップされます。