예: 신뢰할 수 없는 액세스 인터페이스에 대한 주소 스푸핑 공격을 완화하기 위해 다른 EX 시리즈 스위치 기능으로 IP Source Guard 구성
이더넷 LAN 스위치는 소스 IP 주소 또는 소스 MAC 주소의 스푸핑(위조)과 관련된 공격에 취약합니다. 이러한 스푸핑된 패킷은 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송됩니다. EX 시리즈 스위치에서 IP 소스 가드 포트 보안 기능을 활성화하여 이러한 공격의 영향을 완화할 수 있습니다. IP 소스 가드가 들어오는 패킷의 바인딩에 있는 소스 IP 주소와 소스 MAC 주소가 유효하지 않다고 판단하면 스위치는 패킷을 전달하지 않습니다.
IP 소스 가드를 다른 EX 시리즈 스위치 기능과 함께 사용하여 신뢰할 수 없는 액세스 인터페이스에 대한 주소 스푸핑 공격을 완화할 수 있습니다. 이 예에서는 두 가지 구성 시나리오를 보여 줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치
EX 시리즈 스위치용 Junos OS 릴리스 9.2 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
802.1X 인증을 제공하는 RADIUS 서버
이 예제와 관련된 시나리오에 대해 IP 소스 가드를 구성하기 전에 다음을 수행해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
RADIUS 서버를 스위치에 연결하고 RADIUS 서버에서 사용자 인증을 구성했습니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결하는 것을 참조하십시오.
스위치에 구성된 VLAN입니다. 이 예에는 및
GUEST라는 두 개의 VLANDATA이 있습니다. VLAN은DATA로vlan-id300구성됩니다.GUESTVLAN(게스트 VLAN으로 작동)은 로 구성됩니다vlan-id 100. VLAN 구성에 대한 자세한 내용은 예: EX 시리즈 스위치용 다중 VLAN으로 브리징 설정을 참조하십시오.
개요 및 토폴로지
IP 소스 가드는 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송된 패킷에서 IP 소스 주소 및 MAC 소스 주소를 확인합니다. IP 소스 가드가 패킷 헤더에 잘못된 소스 IP 주소 또는 소스 MAC 주소가 포함되어 있다고 판단하면 스위치가 패킷을 전달하지 않도록 하여 패킷이 삭제되도록 합니다.
IP 소스 가드를 구성할 때 하나 이상의 VLAN에서 사용하도록 설정합니다. IP 소스 가드는 해당 VLAN의 신뢰할 수 없는 액세스 인터페이스에 검사 규칙을 적용합니다. 기본적으로 EX 시리즈 스위치에서 액세스 인터페이스는 신뢰할 수 없으며 트렁크 인터페이스는 신뢰할 수 있습니다. IP 소스 가드는 트렁크 인터페이스 또는 신뢰할 수 있는 액세스 인터페이스, 즉 로 구성된 dhcp-trusted인터페이스에 연결된 디바이스에 의해 스위치로 전송된 패킷을 확인하지 않습니다. DHCP 서버를 인터페이스에 연결하여 dhcp-trusted 동적 IP 주소를 제공할 수 있습니다.
IP 소스 가드는 DHCP 스누핑 데이터베이스에서 IP 주소, MAC 주소 또는 VLAN 바인딩에 대한 정보를 가져오며, 이를 통해 스위치는 해당 데이터베이스의 항목에 대해 수신 IP 패킷의 유효성을 검사할 수 있습니다.
위상수학
이 예의 토폴로지에는 DHCP 서버와 RADIUS 서버 모두에 연결된 EX 시리즈 스위치가 포함됩니다.
이 예에서 적용된 802.1X 사용자 인증은 단일 신청자 모드용입니다.
단일 보안 신청자 또는 다중 신청자 모드에 대해 802.1X 사용자 인증과 함께 IP 소스 가드를 사용할 수 있습니다. 단일 보안 요청자 또는 다중 요청자 모드에서 802.1X 인증을 사용하여 IP 소스 가드를 구현하는 경우 다음 구성 지침을 사용해야 합니다.
802.1X 인터페이스가 태그가 지정되지 않은 MAC 기반 VLAN의 일부이고 해당 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화하려면 인터페이스에 태그가 지정되지 않은 멤버십이 있는 모든 동적 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화해야 합니다.
802.1X 인터페이스가 태그가 지정된 MAC 기반 VLAN의 일부이고 해당 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화하려면 인터페이스에 태그 멤버십이 있는 모든 동적 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화해야 합니다.
첫 번째 구성 예에서는 두 개의 클라이언트(네트워크 디바이스)가 액세스 스위치에 연결되어 있습니다. DHCP 스누핑 및 동적 ARP 검사(DAI)의 두 가지 액세스 포트 보안 기능과 함께 IP 소스 가드 및 802.1X 사용자 인증을 구성합니다. 이 설정은 Ping of Death 공격, DHCP 기아 및 ARP 스푸핑과 같은 IP 공격으로부터 스위치를 보호하도록 설계되었습니다.
두 번째 구성 예에서는 802.1X 사용자 인증을 위해 스위치를 구성합니다. 클라이언트가 인증에 실패하면 스위치는 클라이언트를 게스트 VLAN으로 리디렉션하여 이 클라이언트가 제한된 네트워크 기능 집합에 액세스할 수 있도록 합니다. 게스트 VLAN에서 IP 소스 가드를 구성하여 소스 IP 스푸핑의 영향을 완화할 수 있습니다.
디버깅을 위해 문에 플래그를 ip-source-guard traceoptions 설정할 수 있습니다.
802.1X 인증, DHCP 스누핑 및 동적 ARP 검사를 사용하여 IP Source Guard 구성
절차
CLI 빠른 구성
802.1X 인증 및 기타 액세스 포트 보안 기능을 사용하여 IP 소스 가드를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set ethernet-switching-options secure-access-port interface ge-0/0/24 dhcp-trusted set ethernet-switching-options secure-access-port vlan DATA examine-dhcp set ethernet-switching-options secure-access-port vlan DATA arp-inspection set ethernet-switching-options secure-access-port vlan DATA ip-source-guard set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members DATA set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members DATA set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members DATA set protocols lldp-med interface ge-0/0/0.0 set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/0.0 supplicant single set protocols lldp-med interface ge-0/0/1.0 set protocols dot1x authenticator interface ge-0/0/1.0 supplicant single
단계별 절차
802.1X 인증 및 다양한 포트 보안 기능을 사용하여 IP 소스 가드를 구성하려면,
DHCP 서버가 스위치에 연결된 인터페이스를 신뢰할 수 있는 인터페이스로 구성하고 해당 인터페이스를 VLAN에
DATA추가합니다.[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24 dhcp-trusted user@switch# set set ge-0/0/24 unit 0 family ethernet-switching vlan members DATA
두 개의 다른 액세스 인터페이스(신뢰할 수 없음)를 DATA VLAN과 연결합니다.
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members DATA user@switch# set ge-0/0/1 unit 0 family ethernet-switching vlan members DATA
데이터 VLAN과 연결된 두 인터페이스에서 802.1X 사용자 인증 및 LLDP-MED를 구성합니다.
[edit protocols] user@switch# set lldp-med interface ge-0/0/0.0 user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/0.0 supplicant single user@switch# set lldp-med interface ge-0/0/1.0 user@switch# set dot1x authenticator interface ge-0/0/1.0 supplicant single
VLAN에서 DHCP 스누핑, 동적 ARP 검사(DAI) 및 IP 소스 가드의 세 가지 액세스 포트 보안 기능을 구성합니다.
DATA[edit ethernet-switching-options] user@switch# set secure-access-port vlan DATA examine-dhcp user@switch# set secure-access-port vlan DATA arp-inspection user@switch# set secure-access-port vlan DATA ip-source-guard
결과
구성 결과를 확인합니다.
[edit ethernet-switching-options]
secure-access-port {
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan DATA {
arp-inspection;
examine-dhcp;
ip-source-guard;
}
}
[edit interfaces]
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
[edit protocols]
lldp-med {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
dot1x {
authenticator {
authentication-profile-name profile52;
}
interface {
ge-0/0/0.0 {
supplicant single;
}
ge-0/0/1.0 {
supplicant single;
}
}
}
게스트 VLAN에서 IP Source Guard 구성
절차
CLI 빠른 구성
게스트 VLAN에서 IP 소스 가드를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set ethernet-switching-options secure-access-port interface ge-0/0/24 dhcp-trusted set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members GUEST set ethernet-switching-options secure-access-port vlan GUEST examine-dhcp set ethernet-switching-options secure-access-port vlan GUEST ip-source-guard set ethernet-switching-options secure-access-port interface ge-0/0/0 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan GUEST set ethernet-switching-options secure-access-port interface ge-0/0/1 static-ip 10.1.1.2 mac 00:22:22:22:22:22 vlan GUEST set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/0 supplicant single set protocols dot1x authenticator interface ge-0/0/0 guest-vlan GUEST set protocols dot1x authenticator interface ge-0/0/0 supplicant-timeout 2 set protocols dot1x authenticator interface ge-0/0/1 supplicant single set protocols dot1x authenticator interface ge-0/0/1 guest-vlan GUEST set protocols dot1x authenticator interface ge-0/0/1 supplicant-timeout 2
단계별 절차
게스트 VLAN에서 IP 소스 가드를 구성하려면 다음을 수행합니다.
DHCP 서버가 스위치에 연결된 인터페이스를 신뢰할 수 있는 인터페이스로 구성하고 해당 인터페이스를 VLAN에
GUEST추가합니다.[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24 dhcp-trusted user@switch# set ge-0/0/24 unit 0 family ethernet-switching vlan members GUEST
액세스 포트 모드에 대해 두 개의 인터페이스를 구성합니다.
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/1 unit 0 family ethernet-switching port-mode access
VLAN에서 DHCP 스누핑 및 IP 소스 가드를
GUEST구성합니다.[edit ethernet-switching-options] user@switch# set secure-access-port vlan GUEST examine-dhcp user@switch# set secure-access-port vlan GUEST ip-source-guard
VLAN에 있는 두 개의 (신뢰할 수 없는) 인터페이스 각각에
GUEST고정 IP 주소를 구성합니다(선택 사항).[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/0 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan GUEST
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/1 static-ip 10.1.1.2 mac 00:22:22:22:22:22 vlan GUEST
802.1X 사용자 인증 구성:
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/0 supplicant single user@switch# set dot1x authenticator interface ge-0/0/1 supplicant single user@switch# set dot1x authenticator interface ge-0/0/0 supplicant-timeout 2 user@switch# set dot1x authenticator interface ge-0/0/1 supplicant-timeout 2
결과
구성 결과를 확인합니다.
[edit protocols]
dot1x {
authenticator {
authentication-profile-name profile52;
}
interface {
ge-0/0/0.0 {
guest-vlan GUEST;
supplicant single;
supplicant-timeout 2;
}
ge-0/0/1.0 {
guest-vlan GUEST;
supplicant single;
supplicant-timeout 2;
}
}
}
}
[edit vlans]
GUEST {
vlan-id 100;
}
[edit interfaces]
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members GUEST;
}
}
}
}
[edit ethernet-switching-options]
secure-access-port {
interface ge-0/0/0.0 {
static-ip 10.1.1.1 vlan GUEST mac 00:11:11:11:11:11;
}
interface ge-0/0/1.0 {
static-ip 10.1.1.2 vlan GUEST mac 00:22:22:22:22:22;
}
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan GUEST {
examine-dhcp;
ip-source-guard;
}
}
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.
- 인터페이스에서 802.1X 사용자 인증이 작동하는지 확인
- 인터페이스와 VLAN 연결 확인
- DHCP 스누핑이 VLAN에서 작동하는지 확인
- IP Source Guard가 VLAN에서 작동하는지 확인
인터페이스에서 802.1X 사용자 인증이 작동하는지 확인
목적
인터페이스에서 802.1X 구성이 작동하는지 확인합니다.
행동
user@switch> show dot1x interface ge/0/0/0.0 detail
ge-0/0/0.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 2
Quiet period: 30 seconds
Transmit period: 15 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 2 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: GUEST
Number of connected supplicants: 1
Supplicant: md5user01, 00:30:48:90:53:B7
Operational state: Authenticated
Backend Authentication state: Idle
Authentcation method: Radius
Authenticated VLAN: DATA
Session Reauth interval: 3600 seconds
Reauthentication due in 3581 seconds
의미
필드에는 Supplicant mode 각 인터페이스에 대해 구성된 관리 모드가 표시됩니다. 이 Guest VLAN member 필드는 신청자가 게스트 VLAN을 사용하여 인증될 때 신청자가 연결된 VLAN을 표시합니다. 필드에는 Authenticated VLAN 요청자가 연결된 VLAN이 표시됩니다.
인터페이스와 VLAN 연결 확인
목적
인터페이스 상태 및 VLAN 멤버십을 확인합니다.
행동
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking ge-0/0/0.0 up DATA 101 untagged unblocked ge-0/0/1.0 up DATA 101 untagged unblocked ge-0/0/24 up DATA 101 untagged unblocked
의미
필드는 VLAN members VLAN과 인터페이스 간의 연결을 보여줍니다. 필드는 State 인터페이스가 작동 중인지 중단 상태인지를 보여줍니다.
게스트 VLAN 구성의 경우, 신청자가 802.1X 사용자 인증에 실패하면 인터페이스가 게스트 VLAN과 연결됩니다.
DHCP 스누핑이 VLAN에서 작동하는지 확인
목적
DHCP 스누핑이 활성화되어 있고 VLAN에서 작동하는지 확인합니다. 스위치에 연결된 네트워크 디바이스(DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.
행동
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:30:48:90:53:B7 192.0.2.1 86392 dynamic DATA ge-0/0/24.0
의미
DHCP 서버가 스위치에 dhcp-trusted연결하는 인터페이스가 로 설정된 경우 출력은 각 MAC 주소에 대해 할당된 IP 주소 및 임대 시간, 즉 임대가 만료되기까지 남은 시간(초 단위)을 표시합니다. 고정 IP 주소에는 할당된 임대 시간이 없습니다. 정적으로 구성된 항목은 만료되지 않습니다.
IP Source Guard가 VLAN에서 작동하는지 확인
목적
IP 소스 가드가 사용하도록 설정되어 있고 VLAN에서 작동하는지 확인합니다.
행동
user@switch> show ip-source-guard IP source guard information: Interface Tag IP Address MAC Address VLAN ge-0/0/0.0 0 192.0.2.2 00:30:48:90:63:B7 DATA ge-0/0/1.0 0 192.0.2.3 00:30:48:90:73:B7 DATA
의미
IP 소스 가드 데이터베이스 테이블에는 IP 소스 가드가 활성화된 VLAN, 해당 VLAN의 신뢰할 수 없는 액세스 인터페이스, VLAN 802.1Q 태그 ID(있는 경우), 서로 바인딩된 IP 주소 및 MAC 주소가 포함됩니다. 스위치 인터페이스가 여러 VLAN과 연결되어 있고 이러한 VLAN 중 일부에는 IP 소스 가드가 활성화(또는 구성)되어 있고 다른 VLAN에는 IP 소스 가드가 활성화되어 있지 않은 경우, IP 소스 가드가 활성화되지 않은 VLAN의 및 MAC Address 필드에는 IP Address 별표(*)가 표시됩니다.