例:MAC 制限の設定
例:DHCP 枯渇攻撃からの保護
DHCP枯渇攻撃では、攻撃者がなりすまし(偽造)MACアドレスからのDHCPリクエストでイーサネットLANをフラッディングし、スイッチの働き過ぎたDHCPサーバーが、スイッチ上の正規のDHCPクライアントへのIPアドレスとリース時間の割り当てを停止します(そのため、スターベーションという名前が付けられました)。これらのクライアントからの要求は、破棄されるか、攻撃者によって設定された不正なDHCPサーバーに送信されます。
この例では、ポートセキュリティ機能であるMAC制限を設定して、DHCPスターベーション攻撃からスイッチを保護する方法を説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EXシリーズ または QFX3500 スイッチ
EXシリーズスイッチの場合はJunos OS リリース9.0以降、QFXシリーズスイッチの場合はJunos OS リリース12.1以降
スイッチ上のネットワークデバイスにIPアドレスを提供するDHCPサーバー
DHCP枯渇攻撃を軽減するために、ポートセキュリティ機能であるMAC制限を設定する前に、以下が完了していることを確認してください。
DHCPサーバーがスイッチに接続されていること。
スイッチに VLAN employee-vlan が設定されていること。
概要とトポロジー
イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。この例では、一般的なタイプの攻撃の 1 つである DHCP スターベーション攻撃からスイッチを保護する方法を説明します。
この例では、DHCP サーバーに接続されたスイッチでポート セキュリティ機能を設定する方法を示しています。この例の設定には、スイッチ上の VLAN employee-vlan が含まれています。EXシリーズスイッチでそのVLANを作成する手順は、「 例:EXシリーズスイッチの複数のVLANによるブリッジングの設定」のトピックで説明されています。ここでは、手順は繰り返しません。
図 1 は、この例のトポロジーを示しています。
位相幾何学
のネットワーク トポロジー
この例のトポロジーのコンポーネントを 、表 1 に示します。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
QFX3500スイッチ |
VLAN 名と ID |
従業員-VLAN |
employee-vlanのインターフェイス |
ge-0/0/1、 ge-0/0/2、 ge-0/0/3、 ge-0/0/8 |
DHCPサーバー用インターフェイス |
ge-0/0/8 |
この例では、スイッチはすでに次のように設定されています。
スイッチでセキュアポートアクセスがアクティブになります。
どのインターフェイスにもMAC制限は設定されていません。
DHCP スヌーピングは、VLAN employee-vlan では無効です。
すべてのアクセスインターフェイスは信頼できません。これがデフォルト設定です。
構成
DHCP スターベーション攻撃からスイッチを保護するために MAC 制限ポート セキュリティ機能を設定するには、次の手順に従います。
プロシージャ
CLIクイック構成
MAC 制限を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 3 action drop set interface ge-0/0/2 mac-limit 3 action drop
手順
MAC 制限を設定します。
ge-0/0/1 で MAC 制限を 3 に設定し、インターフェイスで制限を超えた場合に新しいアドレスを持つパケットがドロップされるように指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge–0/0/1mac-limit 3 action drop
ge-0/0/2 で MAC 制限を 3 に設定し、インターフェイスで制限を超えた場合に新しいアドレスを持つパケットをドロップするように指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 mac-limit 3 action drop
業績
構成の結果を確認します。
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 3 action drop;
}
interface ge-0/0/2.0 {
mac-limit 3 action drop;
}
検証
設定が正常に機能していることを確認するには、次の手順に従います。
スイッチで MAC 制限が正しく機能していることの確認
目的
スイッチで MAC 制限が機能していることを確認します。
アクション
スイッチに接続されているネットワークデバイス(ここではDHCPクライアント)からDHCP要求を送信します。
ge-0/0/1のホストとge-0/0/2のホストからDHCPリクエストが送信され、両方のインターフェイスがアクションドロップでMAC制限3に設定されている場合に学習されたMACアドレスを表示します。
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces default * Flood - ge-0/0/2.0 default 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
意味
サンプル出力は、各インターフェイスのMAC制限が 3 の場合、 ge-0/0/2 の4番目のMACアドレスに対するDHCPリクエストがMAC制限を超えたためドロップされたことを示しています。
2つのインターフェイスのそれぞれで3つのMACアドレスしか学習できないため、DHCPスターベーション攻撃の試みは失敗します。
例:不正なDHCPサーバ攻撃からの保護
不正なDHCPサーバー攻撃では、攻撃者が不正なサーバーをネットワークに導入し、ネットワークのDHCPクライアントにIPアドレスリースを与え、自身をゲートウェイデバイスとして割り当てます。
この例では、不正なDHCPサーバーからスイッチを保護するために、DHCPサーバーインターフェイスをuntrustedとして設定する方法を説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EXシリーズ スイッチまたは 1 つの QFX3500 スイッチ
EXシリーズスイッチのJunos OSリリース9.0以降またはQFXシリーズのJunos OS リリース12.1以降
スイッチ上のネットワークデバイスにIPアドレスを提供するDHCPサーバー
不正なDHCPサーバー攻撃を軽減するために、信頼できないDHCPサーバーインターフェイスを設定する前に、以下を確認してください。
DHCPサーバーがスイッチに接続されていること。
VLANでDHCPスヌーピングが有効になっている。
スイッチにVLANが設定されていること。お使いのプラットフォームのタスクを参照してください。
概要とトポロジー
イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。この例では、不正なDHCPサーバー攻撃からスイッチを保護する方法を説明します。
この例では、EX3200-24PスイッチとQFX3500スイッチで信頼できないインターフェイスを明示的に設定する方法を示しています。 図 2 は、この例のトポロジーを示しています。
位相幾何学
のネットワーク トポロジー
この例のトポロジーのコンポーネントを 表2に示します。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
1台のEX3200-24P、24ポート(8個のPoEポート)または1台のQFX3500スイッチ |
VLAN 名と ID |
employee-vlan、タグ 20 |
VLANサブネット |
192.0.2.16/28 192.0.2.17 〜 192.0.2.30192.0.2.31 は、サブネットのブロードキャストアドレスです |
employee-vlanのインターフェイス |
ge-0/0/1、 ge-0/0/2、 ge-0/0/3、 ge-0/0/8 |
DHCPサーバー用インターフェイス |
ge-0/0/8 |
この例では、スイッチはすでに次のように設定されています。
スイッチでセキュアポートアクセスがアクティブになります。
DHCP スヌーピングは、VLAN employee-vlan で有効になっています。
不正なDHCPサーバがスイッチに接続したインターフェイス(ポート)は、現在信頼されています。
構成
DHCPサーバーインターフェイスが不正なDHCPサーバーによって使用されているため、DHCPサーバーインターフェイスを信頼できないものとして設定するには、次の手順に従います。
プロシージャ
CLIクイック構成
不正なDHCPサーバインターフェイスを信頼できないものとしてすばやく設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
手順
DHCP サーバー インターフェイスを信頼できないとして設定するには、次の手順に従います。
DHCP 応答が許可されないインターフェイス (ポート) を指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
業績
構成の結果を確認します。
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
例:イーサネット スイッチング テーブル オーバーフロー攻撃からの保護
イーサネット スイッチング テーブル オーバーフロー攻撃では、侵入者が新しい MAC アドレスから非常に多くの要求を送信するため、イーサネット スイッチング テーブルがいっぱいになってからオーバーフローし、スイッチがすべてのメッセージを強制的にブロードキャストします。
この例では、イーサネット スイッチング テーブル攻撃からスイッチを保護するために、2つのポートセキュリティ機能であるMAC制限と許可されたMACアドレスを設定する方法を説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EXシリーズ スイッチまたは QFX3500 スイッチ
EXシリーズスイッチの場合はJunos OS リリース9.0以降、QFXシリーズの場合はJunos OS 12.1以降
スイッチ上のネットワークデバイスにIPアドレスを提供するDHCPサーバー
一般的なアクセスインターフェイス攻撃を軽減するために特定のポートセキュリティ機能を設定する前に、以下が完了していることを確認してください。
DHCPサーバーがスイッチに接続されていること。
スイッチにVLANが設定されていること。お使いのプラットフォームのタスクを参照してください。
概要とトポロジー
イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。この例では、テーブルがオーバーフローし、スイッチがすべてのメッセージをブロードキャストする原因となる、イーサネット スイッチング テーブルへの攻撃からスイッチを保護する方法を説明します。
この例では、DHCP サーバーに接続されたスイッチでポート セキュリティ機能を設定する方法を示しています。
この例の設定には、スイッチ上の VLAN employee-vlan が含まれています。そのVLANを作成する手順は、「 例:EXシリーズスイッチの複数のVLANによるブリッジングの設定 」および「例:QFXシリーズの 複数のVLANによるブリッジング の設定」のトピックで説明されています。ここでは、その手順は繰り返しません。 図 3 は、この例のトポロジーを示しています。
位相幾何学
のネットワーク トポロジー
この例のトポロジーのコンポーネントを 表3に示します。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
1 つの EXシリーズ スイッチまたは 1 つの QFX3500 スイッチ |
VLAN 名と ID |
employee-vlan、タグ 20 |
VLANサブネット |
192.0.2.16/28192.0.2.17〜192.0.2.30192.0.2.31はサブネットのブロードキャストアドレスです |
employee-vlanのインターフェイス |
ge-0/0/1、ge-0/0/2、ge-0/0/3、ge-0/0/8 |
DHCPサーバー用インターフェイス |
ge-0/0/8 |
この例では、MAC 制限機能を使用して、指定されたインターフェイスのイーサネット スイッチング テーブルに追加できる MAC アドレスの総数を制御します。許可されたMACアドレス機能を使用して、ネットワークアクセスが重要なネットワークデバイスのアドレスが、イーサネットスイッチングテーブルに含まれることが保証されるようにします。
この例では、スイッチはすでに次のように設定されています。
スイッチでセキュアポートアクセスがアクティブになります。
どのインターフェイスにもMAC制限は設定されていません。
すべてのアクセスインターフェイスは信頼できません。これがデフォルト設定です。
構成
イーサネット スイッチング テーブル オーバーフロー攻撃からスイッチを保護するために、MAC 制限と一部の許可された MAC アドレスを設定するには、次の手順に従います。
プロシージャ
CLIクイック構成
MAC 制限を迅速に設定し、MAC 転送テーブルをクリアし、許可された MAC アドレスを設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 action drop set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 exit exit clear ethernet-switching-table interface ge-0/0/1
手順
MAC 制限と一部の許可された MAC アドレスを構成します。
ge-0/0/1 で MAC 制限を 4 に設定し、インターフェイスで制限を超えた場合に異なるアドレスを持つ受信パケットをドロップするように指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit (Access Port Security) 4 action drop
MACアドレス転送テーブルからインターフェイスge-0/0/1の現在のエントリーをクリアします。
user@switch# clear ethernet-switching-table interface ge-0/0/1
ge-0/0/2で許可されるMACアドレスを設定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85
業績
構成の結果を確認します。
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4 action drop;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 ];
}
検証
設定が正常に機能していることを確認するには、次の手順に従います。
スイッチで MAC 制限が正しく機能していることの確認
目的
スイッチで MAC 制限が機能していることを確認します。
アクション
ge-0/0/1のホストからDHCPリクエストが送信され、アクションがドロップされたことでインターフェイスがMAC制限4に設定され、インターフェイスge/0/0/2で4つの許可されたMACアドレスが設定された後に、MACキャッシュ情報を表示します。
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:71 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:74 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan * Flood 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意味
サンプル出力は、インターフェイスのMAC制限が 4 の場合、MAC制限を超えたため ge-0/0/1 の5番目のMACアドレスに対するDHCPリクエストがドロップされ、指定された許可されたMACアドレスのみが ge-0/0/2 インターフェイスで学習されたことを示しています。