ポート セキュリティの概要
ポート セキュリティ機能
イーサネット LAN は、ネットワーク デバイス上のアドレス スプーフィング(鍛造)やレイヤー 2 サービス拒否(DoS)などの攻撃に対して脆弱です。ポート セキュリティ機能は、このような攻撃が引き起こす可能性のある情報の損失や生産性からデバイスのアクセス ポートを保護するのに役立ちます。
Junos OS は、制御転送プレーンとサービス プレーンを分離することで強化され、各機能は保護されたメモリで実行されます。制御プレーン CPU は、レート制限、ルーティング ポリシー、ファイアウォール フィルターによって保護され、重大な攻撃を受けてもスイッチのアップタイムを確保します。
Junos OS は、デバイス上のセキュアなポートを支援する機能を提供します。ポートは、信頼できるポートまたは信頼できないポートのいずれかに分類できます。各カテゴリに適したポリシーを適用して、さまざまなタイプの攻撃からポートを保護します。
動的アドレス解決プロトコル(ARP)インスペクション、DHCP スヌーピング、MAC 制限などのアクセス ポート セキュリティ機能は、1 つの Junos OS CLI コマンドを使用して制御されます。基本的なポート セキュリティ機能は、デバイスのデフォルト設定で有効になっています。最小限の設定手順で追加機能を設定できます。特定の機能に応じて、VLAN またはブリッジ ドメイン インターフェイスで機能を設定できます。
Junos OS リリース 18.4R1 以降、DHCP スヌーピングは、次のジュニパー シリーズ スイッチ、EX2300、EX4600、QFX5K の信頼できるポートで実行されます。Junos OS リリース 18.4R1 より前のデバイスでは、これは DHCPv6 スヌーピングに対してのみ当てはめていました。さらに、DHCP スヌーピングは、Junos OS リリース 19.1R1 以降を実行している EX9200 シリーズ スイッチおよび Fusion Enterprise の信頼できるポートで発生します。
ジュニパーネットワークス EX シリーズ イーサネット スイッチは、以下のハードウェアおよびソフトウェア セキュリティー機能を提供します。
Console Port—コンソール ポートを使用して、RJ-45 ケーブルを介してルーティング エンジンに接続できます。次に、CLI(コマンドライン インターフェイス)を使用してスイッチを設定します。
Out-of-Band Management—背面パネルの専用管理イーサネット ポートにより、アウトオブバンド管理が可能になります。
Software Images—すべての Junos OS イメージは、公開鍵基盤(PKI)を使用してジュニパーネットワークスの証明機関(CA)によって署名されています。
User Authentication, Authorization, and Accounting (AAA)—機能は次のとおりです。
パスワードの暗号化と認証を使用したユーザー アカウントとグループ アカウント。
ログイン クラスとユーザー テンプレートに対して設定可能なアクセス権限レベル。
スイッチへのアクセスを試みるユーザーを認証するための RADIUS 認証、TACACS+ 認証、またはその両方。
システム ロギングまたは RADIUS/TACACS+ による設定変更の監査。
802.1X Authentication—ネットワーク アクセス コントロールを提供します。サプリカント(ホスト)は、最初に LAN に接続したときに認証されます。DHCP サーバーから IP アドレスを受信する前にサプリカントを認証することで、許可されていないサプリカントが LAN にアクセスするのを防ぎます。EX シリーズ スイッチは、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP などの EAP(Extensible Authentication Protocol)方式をサポートしています。
Port Securityスイッチング デバイスでサポートされるアクセス ポート セキュリティ機能は次のとおりです。
DHCP スヌーピング:信頼できないポート上のイングレス DHCP(Dynamic Host Configuration Protocol)サーバー メッセージをフィルターおよびブロックし、DHCP スヌーピング データベースと呼ばれる DHCP リース情報のデータベースを構築および維持します。
メモ:スイッチング デバイスのデフォルト設定では、DHCP スヌーピングは有効になっていません。DHCP スヌーピングは、VLAN またはブリッジ ドメインで有効になっています。DHCP スヌーピングの有効化の詳細は、特定のデバイスによって異なります。
信頼できる DHCP サーバー — 信頼できるポートで DHCP サーバーを構成すると、リースを送信する不正な DHCP サーバーから保護されます。インターフェイス(ポート)でこの機能を有効にするとします。デフォルトでは、アクセス ポートは信頼できなく、トランク ポートは信頼されます。(アクセス ポートは、ユーザー PC、ラップトップ、サーバー、プリンターなどのイーサネット エンドポイントに接続するスイッチ ポートです。トランク ポートとは、イーサネット スイッチを他のスイッチまたはルーターに接続するスイッチ ポートです)。
DHCPv6 スヌーピング:IPv6 用 DHCP スヌーピング。
DHCP オプション 82 — DHCP リレー エージェント情報オプションとも呼ばれます。この DHCPv4 機能は、IP アドレスや MAC アドレスのスプーフィングや DHCP IP アドレス不足などの攻撃からスイッチング デバイスを保護するのに役立ちます。オプション 82 は、DHCP クライアントのネットワーク位置に関する情報を提供し、DHCP サーバーはこの情報を使用して、クライアントに IP アドレスやその他のパラメーターを実装します。
DHCPv6 オプション 37 —オプション 37 は DHCPv6 のリモート ID オプションで、リモート ホストのネットワーク位置に関する情報を DHCPv6 パケットに挿入するために使用されます。VLAN でオプション 37 を有効にするとします。
メモ:オプション 37 を使用した DHCPv6 スヌーピングは、MX シリーズではサポートされていません。
DHCPv6 オプション 18 —オプション 18 は DHCPv6 の回線 ID オプションで、クライアント ポートに関する情報を DHCPv6 パケットに挿入するために使用されます。このオプションには、プレフィックスやインターフェイスの説明など、オプションで設定できるその他の詳細も含まれています。
DHCPv6 オプション 16 —オプション 16 は DHCPv6 のベンダー ID オプションで、クライアント ハードウェアのベンダーに関する情報を DHCPv6 パケットに挿入するために使用されます。
DAI(Dynamic ARP Inspection):ARP(アドレス解決プロトコル)スプーフィング攻撃を防止します。ARP 要求と応答は、DHCP スヌーピング データベース内のエントリーと比較され、それらの比較の結果に基づいてフィルタリングが決定されます。VLAN で DAI を有効にするとします。
IPv6 ネイバー検出インスペクション:IPv6 アドレス スプーフィング攻撃を防止します。ネイバー検出要求と応答は、DHCPv6 スヌーピング データベース内のエントリーと比較され、それらの比較結果に基づいてフィルタリングが決定されます。VLAN でネイバー検出インスペクションを有効にするとします。
IP ソース ガード:イーサネット LAN に対する IP アドレス スプーフィング攻撃の影響を緩和します。IP ソース ガードが有効になっている場合、信頼できないアクセス インターフェイスから送信されたパケット内の送信元 IP アドレスが、DHCP スヌーピング データベースに対して検証されます。パケットが検証できない場合、パケットは破棄されます。VLAN またはブリッジ ドメインで IP ソース ガードを有効にするとします。
IPv6 ソース ガード:IPv6 の IP ソース ガード。
MAC 制限:イーサネット スイッチング テーブル(MAC 転送テーブルまたはレイヤー 2 転送テーブルとしても知られる)のフラッディングから保護します。インターフェイスで MAC 制限を有効にできます。
MAC 移動制限 — MAC の移動を追跡し、アクセス ポートで MAC スプーフィングを検知します。VLAN またはブリッジ ドメインでこの機能を有効にするとします。
永続的な MAC 学習—スティッキー MAC とも呼ばれます。永続的なMAC学習により、インターフェイスはスイッチの再起動時に動的に学習したMACアドレスを保持できます。インターフェイスでこの機能を有効にするとします。
無制限のプロキシARP:スイッチは、独自のMACアドレスですべてのARPメッセージに応答します。スイッチのインターフェイスに接続されているホストは、他のホストと直接通信できません。代わりに、ホスト間のすべての通信がスイッチを通過します。
制限付きプロキシARP:ARPリクエストの送信元とターゲットの物理ネットワークが同じ場合、スイッチはARPリクエストに応答しません。宛先ホストが受信インターフェイスと同じ IP アドレスを持っているか、別の(リモート)IP アドレスを持っているかどうかは関係ありません。ブロードキャスト アドレスの ARP 要求は応答を引き出しません。
Device Security—ストーム制御により、スイッチは不明なユニキャストおよびブロードキャスト トラフィックを監視し、パケットをドロップしたり、シャットダウンしたり、指定したトラフィック レベルを超えた場合にインターフェイスを一時的に無効にしたりできるため、パケットが増殖して LAN を劣化させるのを防ぐことができます。アクセス インターフェイスまたはトランク インターフェイスでストーム制御を有効にできます。
Encryption Standardsサポート対象の標準は次のとおりです。
128 ビット、192 ビット、256 ビット AES(Advanced Encryption Standard)
56 ビット DES(データ暗号化標準)および 168 ビット 3DES
「」も参照
一般的な攻撃からアクセス ポートを保護する方法について
ポート セキュリティ機能により、ジュニパーネットワークス EX シリーズおよび QFX10000 イーサネット スイッチをさまざまなタイプの攻撃から保護できます。一般的な攻撃に対する防御方法は次のとおりです。
- イーサネット スイッチング テーブル オーバーフロー攻撃の緩和
- 不正な DHCP サーバー攻撃の緩和
- ARP スプーフィング攻撃に対する保護(QFX10000 シリーズ スイッチには適用されません)
- DHCP スヌーピング データベース変更攻撃に対する保護(QFX10000 シリーズ スイッチには適用されません)
- DHCP 飢餓攻撃からの保護
イーサネット スイッチング テーブル オーバーフロー攻撃の緩和
イーサネット スイッチング テーブルに対するオーバーフロー攻撃では、侵入者が新しい MAC アドレスから非常に多くのリクエストを送信するため、テーブルはすべてのアドレスを学習できません。スイッチは、テーブル内の情報を使用してトラフィックを転送できなくなった場合、メッセージを強制的にブロードキャストします。スイッチ上のトラフィック フローが中断され、パケットがネットワーク上のすべてのホストに送信されます。攻撃者は、トラフィックでネットワークを過負荷状態にするだけでなく、そのブロードキャスト トラフィックをスニッフィングする可能性もあります。
このような攻撃を緩和するには、学習した MAC アドレスの MAC 制限と、許可される特定の MAC アドレスの両方を設定します。MAC 制限機能を使用して、指定されたインターフェイスまたはインターフェイスのイーサネット スイッチング テーブルに追加できる MAC アドレスの総数を制御します。明示的に許可される MAC アドレスを設定することで、ネットワーク アクセスが重要なネットワーク デバイスのアドレスがイーサネット スイッチング テーブルに含まれることが保証されます。例 :イーサネット スイッチング テーブル オーバーフロー攻撃からの保護を参照してください。
学習した MAC アドレスを各インターフェイスに保持するように設定することもできます。この永続的 MAC 学習は、設定された MAC 制限と組み合わせて使用することで、再起動またはインターフェイスダウン イベント後のトラフィック損失を防ぎ、インターフェイスで許可される MAC アドレスを制限することでポート のセキュリティを向上させます。
不正な DHCP サーバー攻撃の緩和
攻撃者が不正な DHCP サーバーを設定して LAN 上の正規の DHCP サーバーになりすましを行った場合、不正なサーバーはネットワークの DHCP クライアントへのリース発行を開始できます。この不正なサーバーによってクライアントに提供された情報は、ネットワーク アクセスを中断し、DoS を引き起こす可能性があります。不正なサーバーは、それ自体をネットワークのデフォルト ゲートウェイ デバイスとして割り当てる場合もあります。その後、攻撃者はネットワーク トラフィックをスニッフィングし、中間者攻撃を実行できます。つまり、正規のネットワーク デバイスを想定したトラフィックを、その選択したデバイスに誤って誘導します。
不正な DHCP サーバー攻撃を緩和するには、その不正なサーバーが接続されているインターフェイスを信頼できないものとして設定します。このアクションは、そのインターフェイスからのすべてのイングレスDHCPサーバーメッセージをブロックします。 「例:不正な DHCP サーバー攻撃からの保護」を参照してください。
このスイッチは、信頼できないポートで受信したすべての DHCP サーバー パケットをログに記録します。例:
5 信頼できない DHCPOFFER 受信、インターフェイス ge-0/0/0.0[65] vlan v1[10] サーバー ip/mac 12.12.12.1/00:00:00:01:12 offer ip/client mac 12.12.12.253/00:AA:BB:CC:DD:01
これらのメッセージを使用して、ネットワーク上の悪意のある DHCP サーバーを検出できます。
QFX10000 を含む QFX シリーズ スイッチでは、DHCP サーバーをアクセス ポートに接続する場合、そのポートを信頼できるポートとして設定する必要があります。
ARP スプーフィング攻撃に対する保護(QFX10000 シリーズ スイッチには適用されません)
ARP スプーフィングでは、攻撃者が偽の ARP メッセージをネットワークに送信します。攻撃者は、独自の MAC アドレスをスイッチに接続されたネットワーク デバイスの IP アドレスに関連付けます。その IP アドレスに送信されたトラフィックは、その代わりに攻撃者に送信されます。攻撃者は、別のホスト用のパケットのスニッフィングや中間者攻撃の実行など、さまざまなタイプのいたずらを生み出す可能性があります。(中間者攻撃では、攻撃者は 2 つのホスト間のメッセージを傍受し、それらを読み取り、変更します。元のホストが通信が侵害されたことを知らなくても、 すべてです)。
スイッチの ARP スプーフィングから保護するには、DHCP スヌーピングと DAI(Dynamic ARP Inspection)の両方を有効にします。DHCP スヌーピングは、DHCP スヌーピング テーブルを構築して維持します。このテーブルには、スイッチ上の信頼できないインターフェイスのMACアドレス、IPアドレス、リース時間、バインディングタイプ、VLAN情報、インターフェイス情報が含まれています。DAI は、DHCP スヌーピング テーブルの情報を使用して ARP パケットを検証します。無効なARPパケットがブロックされ、ブロックされると、ARPパケットのタイプと送信者のIPアドレスとMACアドレスを含むシステムログメッセージが記録されます。
例 : ARP スプーフィング攻撃からの保護を参照してください。
DHCP スヌーピング データベース変更攻撃に対する保護(QFX10000 シリーズ スイッチには適用されません)
DHCP スヌーピング データベースを変更するように設計された攻撃では、侵入者が、信頼できない別のポート上のクライアントと同じ MAC アドレスを持つ、スイッチの信頼できないアクセス インターフェイスのいずれかに DHCP クライアントを導入します。侵入者が DHCP リースを取得すると、DHCP スヌーピング テーブルのエントリーが変更されます。その後、正規クライアントからの有効なARPリクエストがブロックされます。
DHCP スヌーピング データベースのこのタイプの変更から保護するには、インターフェイスで明示的に許可されている MAC アドレスを設定します。 例: DHCP スヌーピング データベース攻撃からの保護を参照してください。
DHCP 飢餓攻撃からの保護
DHCP 飢餓攻撃では、攻撃者がイーサネット LAN にスプーフィングされた(偽の)MAC アドレスからの DHCP リクエストをフラッディングして、スイッチの信頼できる DHCP サーバーがスイッチ上の正規の DHCP クライアントからの要求に対応できないようにします。これらのサーバーのアドレス空間が完全に使い切られるので、IP アドレスとリース時間をクライアントに割り当てることができなくなります。これらのクライアントからの DHCP リクエストは破棄されるか、つまりサービス拒否(DoS)になります。または、攻撃者によって設定された不正な DHCP サーバーに誘導され、LAN 上の正規の DHCP サーバーになりすました。
DHCP 飢餓攻撃からスイッチを保護するには、MAC 制限機能を使用します。これらのクライアントが接続するアクセス インターフェイスで、スイッチが学習できる MAC アドレスの最大数を指定します。その後、スイッチの DHCP サーバーまたはサーバーは、指定された数の IP アドレスとリースをそれらのクライアントに供給でき、それ以上は使用できなくなります。最大 IP アドレス数が割り当てられた後に DHCP 飢餓攻撃が発生した場合、その攻撃は失敗します。 例: DHCP 飢餓攻撃からの保護を参照してください。
EX シリーズ スイッチの保護を強化するために、永続的な MAC 学習を有効にすることで、各インターフェイスで学習した MAC アドレスをスイッチの再起動時に保持するように設定できます。この永続的なMAC学習は、再起動後のトラフィック損失を防ぐのに役立ち、再起動やインターフェイスダウンイベントの後でも、永続的なMACアドレスが、スイッチが新しいMACアドレスを学習するのではなく、転送データベースに再入力されるようにします。
「」も参照
ポート セキュリティの設定(ELS)
説明されている機能は、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする EX シリーズ スイッチでサポートされています。スイッチが ELS をサポートしていないソフトウェアを実行している場合は、「 ポート セキュリティの設定(非 ELS)」を参照してください。ELS の詳細については、「 拡張レイヤー 2 ソフトウェア CLI の使用」を参照してください。
イーサネット LAN は、ネットワーク デバイス上のアドレス スプーフィングやレイヤー 2 サービス拒否(DoS)などの攻撃に対して脆弱です。DHCP ポート セキュリティ機能は、このような攻撃による情報の損失や生産性からスイッチのアクセス ポートを保護するのに役立ちます。
DHCPv4 では、次のポート セキュリティ機能がサポートされています。
DHCP スヌーピング
DAI(Dynamic ARP Inspection)
IP ソース ガード
DHCP オプション 82
DHCPv6 では、次のポート セキュリティ機能がサポートされています。
DHCPv6 スヌーピング
IPv6 ネイバー検出インスペクション
IPv6 ソース ガード
DHCPv6 オプション 37、オプション 18、オプション 16
DHCP スヌーピングと DHCPv6 スヌーピングは、デフォルトで任意の VLAN で無効になっています。DHCP スヌーピングや DHCPv6 スヌーピングを有効にするために明示的な CLI 設定は使用されません。階層レベルで VLAN のポート セキュリティ機能のいずれかを設定すると、その VLAN で [edit vlans vlan-name forwarding-options dhcp-security] DHCP スヌーピングと DHCPv6 スヌーピングが自動的に有効になります。
Junos OS リリース 14.1X53-D47 および 15.1R6 以降では、CLI ステートメントを [edit vlans vlan-name forwarding-options] 階層レベルで設定dhcp-security することで、他のポート セキュリティ機能を設定することなく、VLAN で DHCP スヌーピングまたは DHCPv6 スヌーピングを有効にできます。
DAI、IPv6ネイバー検出インスペクション、IPソースガード、IPv6ソースガード、DHCPオプション82、DHCPv6オプションがVLAN単位で設定されています。これらの DHCP ポート セキュリティ機能を設定する前に、VLAN を設定する必要があります。 ELS サポートを使用した EX シリーズ スイッチの VLAN の設定(CLI プロシージャ)を参照してください。
VLAN に指定する DHCP ポート セキュリティ機能は、その VLAN に含まれるすべてのインターフェイスに適用されます。ただし、VLAN 内のアクセス インターフェイスまたはアクセス インターフェイス のグループに異なる属性を割り当てることができます。アクセス インターフェイスまたはインターフェイスは、まず階層レベルのステートメントを group 使用してグループとして設定する [edit vlans vlan-name forwarding-options dhcp-security] 必要があります。グループには、少なくとも 1 つのインターフェイスが必要です。
階層レベルで VLAN 上のアクセス インターフェイス グループを設定すると、 [edit vlans vlan-name forwarding-options dhcp-security] VLAN 内のすべてのインターフェイスに対する DHCP スヌーピングが自動的に有効になります。
ステートメントを使用して group アクセス インターフェイスに指定できる属性は次のとおりです。
インターフェイスに静的 IP-MAC アドレスを指定する(
static-ip or static-ipv6)DHCP サーバーへの信頼できるインターフェイスとして機能するアクセス インターフェイスの指定(
trusted)DHCP オプション 82()または DHCPv6 オプション
no-option37(no-option82)を送信しないインターフェイスの指定
トランク インターフェイスはデフォルトで信頼されます。ただし、このデフォルトの動作をオーバーライドし、トランク インターフェイスを .untrusted
詳細については、以下を参照してください。
VLAN 内のアクセス インターフェイス グループを設定することで、VLAN の一般的なポート セキュリティ設定を上書きできます。詳細については、以下を参照してください。
「」も参照
ポート セキュリティの設定(ELS 以外)
イーサネット LAN は、ネットワーク デバイス上のアドレス スプーフィングやレイヤー 2 サービス拒否(DoS)などの攻撃に対して脆弱です。DHCP スヌーピング、DAI(ダイナミック ARP インスペクション)、MAC 制限、MAC 移動制限、永続的 MAC 学習などのポート セキュリティ機能、および信頼できる DHCP サーバーは、このような攻撃が引き起こす可能性のある情報と生産性の損失からスイッチのアクセス ポートを保護するのに役立ちます。
特定の機能に応じて、次のいずれかのポート セキュリティ機能を設定できます。
VLAN — 特定の VLAN またはすべての VLAN
インターフェイス—特定のインターフェイスまたはすべてのインターフェイス
すべての VLAN またはすべてのインターフェイスでポート セキュリティ機能のいずれかを設定する場合、スイッチ ソフトウェアは、他のポート セキュリティ機能で明示的に設定されていないすべての VLAN およびすべてのインターフェイスで、ポート セキュリティ機能を有効にします。
ただし、特定の VLAN または特定のインターフェイスでポート セキュリティ機能のいずれかを明示的に設定する場合は、その VLAN またはインターフェイスに適用する追加のポート セキュリティ機能を明示的に設定する必要があります。それ以外の場合、スイッチ ソフトウェアは自動的に機能のデフォルト値を適用します。
たとえば、すべての VLAN で DHCP スヌーピングを無効にし、特定の VLAN でのみ IP ソース ガードを明示的に有効にする場合は、その特定の VLAN で DHCP スヌーピングも明示的に有効にする必要があります。それ以外の場合、DHCP スヌーピングなしのデフォルト値がその VLAN に適用されます。
CLI を使用してポート セキュリティ機能を設定するには、次の手順に従います。
- DHCP スヌーピングの有効化
- DAI(Enabling Dynamic ARP Inspection)
- IPv6 ネイバー検出インスペクションの有効化
- インターフェイスでの動的 MAC アドレスの制限
- インターフェイスでの永続的 MAC 学習の有効化
- MAC アドレスの移動の制限
- VoIP VLAN の VoIP クライアント MAC アドレスの制限
- インターフェイスでの信頼できる DHCP サーバーの設定
DHCP スヌーピングの有効化
DHCP スヌーピングを設定して、受信した DHCP メッセージをデバイスが監視できるようにし、ホストが割り当てられた IP アドレスのみを使用し、許可された DHCP サーバーへのアクセスのみを許可するようにできます。
DHCP スヌーピングを有効にするには、
特定の VLAN では、次の手順に基づきます。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
すべての VLAN で:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
DHCPv6 スヌーピングを有効にするには、以下の手順にしてください。
特定の VLAN では、次の手順に基づきます。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
すべての VLAN で:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
DAI(Enabling Dynamic ARP Inspection)
DAI を有効にして、ARP スヌーピングから保護できます。DAI を有効にするには、以下の手順にしてください。
単一の VLAN では、次の手順に基づきます。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
すべての VLAN で:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
IPv6 ネイバー検出インスペクションの有効化
ネイバー検出インスペクションを有効にして、IPv6 アドレス スプーフィングから保護できます。
単一 VLAN でネイバー検出を有効にするには、次の手順に基づきます。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
すべての VLAN でネイバー検出を有効にするには、次の手順に基づいて設定します。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
インターフェイスでの動的 MAC アドレスの制限
インターフェイスで許可される動的 MAC アドレスの数を制限し、制限を超えた場合に実行するアクションを指定します。
単一のインターフェイス上:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
すべてのインターフェイスで、
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
インターフェイスでの永続的 MAC 学習の有効化
学習した MAC アドレスを、スイッチの再起動時にインターフェイス上で保持するように設定できます。
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
MAC アドレスの移動の制限
MAC アドレスが元のインターフェイスから 1 秒で移動できる回数を制限できます。
単一の VLAN では、次の手順に基づきます。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
すべての VLAN で:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
VoIP VLAN の VoIP クライアント MAC アドレスの制限
VoIP クライアント MAC アドレスが設定された VoIP VLAN で学習されないように制限するには、次の手順に応じて設定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
VoIP VLAN のそのインターフェイスで学習した MAC アドレスは、同じインターフェイスを持つデータ VLAN では学習されません。MAC アドレスがデータ VLAN インターフェイスで学習され、その MAC アドレスが同じインターフェイスを持つ VoIP VLAN で学習された場合、MAC アドレスはデータ VLAN インターフェイスから削除されます。
インターフェイスでの信頼できる DHCP サーバーの設定
インターフェイスで信頼できる DHCP サーバーを設定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
例:ポート セキュリティの設定(ELS 以外)
DHCP スヌーピング、DAI(Dynamic ARP Inspection)、MAC 制限、永続的 MAC 学習、MAC 移動制限をスイッチの信頼できないポートで設定し、アドレス スプーフィングやレイヤー 2 サービス拒否(DoS)攻撃からスイッチとイーサネット LAN を保護できます。また、信頼できる DHCP サーバーと、スイッチ インターフェイスの特定の(許可された)MAC アドレスを設定することもできます。
この例で使用するスイッチは、ELS 設定スタイルをサポートしていません。ELSスイッチでのポートセキュリティの設定については、 ELS(ポートセキュリティの設定)を参照してください。
この例では、スイッチで基本的なポート セキュリティ機能を設定する方法について説明します。
要件
この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。
1 つの EX シリーズまたは QFX シリーズ。
QFX シリーズの EX シリーズ スイッチまたは Junos OS リリース 12.1 以降の Junos OS リリース 11.4 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
基本的なポート セキュリティ機能を設定する前に、次の機能を備えていることを確認してください。
DHCP サーバーをスイッチに接続しました。
スイッチで VLAN を設定しました。プラットフォームのタスクを参照してください。
この例では、DHCP サーバーとそのクライアントはすべてスイッチ上の単一 VLAN のメンバーです。
概要とトポロジー
イーサネット LAN は、ネットワーク デバイスに対するスプーフィングや DoS 攻撃に対して脆弱です。このような攻撃からデバイスを保護するには、以下を設定します。
DHCP サーバー メッセージを検証するための DHCP スヌーピング
DAI、MAC スプーフィングから保護
スイッチが MAC アドレス キャッシュに追加する MAC アドレスの数を制限するための MAC 制限
MAC スプーフィングを防止するための MAC 移動制限
スイッチを再起動した後でも、インターフェイス上で学習できるMACアドレスを学習した最初のMACアドレスに制限する永続的なMAC学習(スティッキーMAC)
リースを送信する不正な DHCP サーバーから保護するために、信頼できるポート上に構成された信頼できる DHCP サーバー
この例では、DHCP サーバーに接続されたスイッチでこれらのセキュリティ機能を設定する方法を示しています。
この例の設定には、スイッチ上の VLAN employee-vlan が含まれています。 図 1 は、この例のトポロジーを示しています。
トポロジ
のためのネットワーク トポロジー
この例のトポロジーのコンポーネントを 表 1 に示します。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX シリーズまたは QFX シリーズ スイッチ 1 台 |
VLAN 名と ID |
employee-vlan、タグ 20 |
VLAN サブネット |
192.0.2.16/28 192.0.2.17 ~ 192.0.2.30 192.0.2.31 はサブネットのブロードキャストアドレス |
employee-vlan のインターフェイス |
ge-0/0/1、 ge-0/0/2、 ge-0/0/3、 ge-0/0/8 |
DHCP サーバー用インターフェイス |
ge-0/0/8 |
この例では、スイッチは最初にデフォルトのポート セキュリティ設定で設定されています。デフォルトのスイッチ設定では、次の手順にしたがってください。
セキュアなポート アクセスがスイッチでアクティブ化されます。
DHCP スヌーピングと DAI はすべての VLAN で無効になっています。
すべてのアクセス ポートは信頼でき、すべてのトランク ポートは DHCP スヌーピングで信頼されています。
この例の設定タスクでは、DHCP サーバーを信頼済みとして設定します。VLANでDHCPスヌーピング、DAI、MAC移動制限を有効にします。一部のインターフェイスでMAC制限の値を設定します。インターフェイス上で特定の(許可された)MACアドレスを設定します。永続的なMAC学習をインターフェイスで設定します
構成
DHCP サーバーとクライアント ポートが 1 つの VLAN にあるスイッチで基本的なポート セキュリティを設定するには、次の手順に基づきます。
手順
CLI クイック設定
スイッチで基本的なポート セキュリティを迅速に設定するには、次のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
手順
スイッチで基本的なポート セキュリティを設定します。
VLAN で DHCP スヌーピングを有効にします。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
DHCP 応答が許可されるインターフェイス(ポート)を指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
VLAN で DAI(Dynamic ARP Inspection)を有効にします。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
4のMAC制限を設定し、デフォルトアクションを使用して、ドロップします。(パケットが破棄され、MAC アドレスがインターフェイスで MAC 制限を超えた場合、イーサネット スイッチング テーブルに追加されません)。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
特定のインターフェイスの学習済み MAC アドレスを、永続的な MAC 学習を有効にすることで、スイッチの再起動とインターフェイスダウン イベント間で持続できるようにします。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
MAC 移動制限 5 を設定し、デフォルト アクションを 使用して、ドロップします。(MAC アドレスが MAC 移動制限を超えた場合、パケットは破棄され、MAC アドレスはイーサネット スイッチング テーブルに追加されません)。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
許可された MAC アドレスを設定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
結果
設定の結果を確認します。
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
検証
設定が正しく機能していることを確認するには、次の手順にしたがってください。
- DHCP スヌーピングがスイッチで正しく機能していることを確認する
- スイッチで DAI が正しく機能していることを確認する
- MAC 制限、MAC 移動制限、永続的 MAC 学習がスイッチで正しく機能していることを検証する
- 許可された MAC アドレスがスイッチで正しく機能していることを確認する
DHCP スヌーピングがスイッチで正しく機能していることを確認する
目的
DHCP スヌーピングがスイッチで機能していることを確認します。
アクション
スイッチに接続されたネットワーク デバイス(DHCP クライアント)から DHCP リクエストを送信します。
DHCP サーバーがスイッチに接続するインターフェイスが信頼されている場合は、DHCP スヌーピング情報を表示します。MAC アドレスから要求が送信され、サーバーが IP アドレスとリースを指定した場合、次の出力結果が表示されます。
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
意味
DHCP サーバーがスイッチに接続するインターフェイスが信頼済みに設定されている場合、出力(前述のサンプルを参照)は、各 MAC アドレスに対して、割り当てられた IP アドレスとリース時間、つまりリース期限が切れる前の時間(秒単位)を示しています。
DHCP サーバーが信頼できないとして設定されている場合、DHCP スヌーピング データベースにエントリは追加されません。コマンドの show dhcp snooping binding 出力には何も表示されません。
スイッチで DAI が正しく機能していることを確認する
目的
DAI がスイッチで動作していることを確認します。
アクション
スイッチに接続されたネットワーク デバイスから ARP リクエストを送信します。
DAI 情報を表示します。
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意味
サンプル出力は、通過したパケット数と各インターフェイスのインスペクションに失敗した数のリストを含む、インターフェイスごとに受信および検査されたARPパケットの数を示しています。スイッチは、ARP 要求を比較し、DHCP スヌーピング データベース内のエントリーに対して応答します。ARP パケット内の MAC アドレスまたは IP アドレスがデータベース内の有効なエントリーと一致しない場合、パケットはドロップされます。
MAC 制限、MAC 移動制限、永続的 MAC 学習がスイッチで正しく機能していることを検証する
目的
MAC 制限、MAC 移動制限、永続的 MAC 学習がスイッチで機能していることを確認します。
アクション
ge-0/0/1のホストから2つのパケットが送信され、ge-0/0/2のホストから5つのパケットが送信され、両方のインターフェイスがデフォルトのアクションドロップでMAC制限4に設定され、ge-0/0/1が永続的なMAC学習に有効になっているとします。
学習した MAC アドレスを表示します。
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
1 秒で 5 回以上他のインターフェイスに移動した後、ge-0/0/2 の 2 つのホストからパケットが送信され、従業員-vlan がデフォルト のアクションドロップで MAC 移動制限 5 に設定されたとします。
表に MAC アドレスを表示します。
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意味
最初のサンプル出力は、各インターフェイスの MAC 制限 が 4 で、 ge-0/0/2 の 5 番目の MAC アドレスが MAC 制限を超えていたため学習されなかったことを示しています。2 番目のサンプル出力は、ホストが 1 秒で 5 回以上移動されたため、 ge-/0/0/2 の 3 つのホストの MAC アドレスが学習されなかったことを示しています。
インターフェイス ge-0/0/1.0 は永続的 MAC 学習に対して有効になっており、このインターフェイスに関連付けられた MAC アドレス は永続的なタイプです。
許可された MAC アドレスがスイッチで正しく機能していることを確認する
目的
許可された MAC アドレスがスイッチで動作していることを確認します。
アクション
インターフェイス ge-0/0/2で5つの許可されたMACアドレスが設定された後に、MACキャッシュ情報を表示します。
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意味
このインターフェイスの MAC 制限値は 4 に設定されているため、 設定された 5 個の許可アドレスのうち 4 つだけが学習されます。