예: 불량 DHCP 서버 공격으로부터 보호
불량 DHCP 서버 공격에서 공격자는 불량 서버를 네트워크에 유입하여 네트워크의 DHCP 클라이언트에 IP 주소 임대를 제공하고 자신을 게이트웨이 디바이스로 할당할 수 있습니다.
이 예에서는 불량 DHCP 서버로부터 스위치를 보호하기 위해 DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개
EX 시리즈 스위치의 경우 Junos OS 릴리스 9.0 이상, QFX 시리즈의 경우 Junos OS 릴리스 12.1 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
불량 DHCP 서버 공격을 완화하기 위해 신뢰할 수 없는 DHCP 서버 인터페이스를 구성하기 전에 다음을 수행해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
VLAN에서 DHCP 스누핑을 활성화했습니다.
스위치에 VLAN을 구성했습니다. 플랫폼에 대한 작업을 참조하십시오.
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이 예에서는 불량 DHCP 서버 공격으로부터 스위치를 보호하는 방법을 설명합니다.
이 예에서는 EX3200-24P 스위치와 QFX3500 스위치에서 신뢰할 수 없는 인터페이스를 명시적으로 구성하는 방법을 보여 줍니다. 그림 1 은 이 예의 토폴로지를 보여줍니다.
위상수학
이 예의 토폴로지 구성 요소는 표 1에 표시되어 있습니다.
속성 | 설정 |
---|---|
스위치 하드웨어 |
EX3200-24P 1개, 포트 24개(PoE 포트 8개) 또는 QFX3500 스위치 1개 |
VLAN 이름 및 ID |
employee-vlan, 태그 20 |
VLAN 서브넷 |
192.0.2.16/28 192.0.2.17 - 192.0.2.30192.0.2.31은 서브넷의 브로드캐스트 주소입니다. |
employee-vlan의 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서 스위치는 이미 다음과 같이 구성되었습니다.
스위치에서 보안 포트 액세스가 활성화됩니다.
DHCP 스누핑은 VLAN employee-vlan에서 활성화됩니다.
불량 DHCP 서버가 스위치에 연결된 인터페이스(포트)는 현재 신뢰할 수 있습니다.
구성
불량 DHCP 서버에서 DHCP 서버 인터페이스를 사용 중이므로 해당 인터페이스를 신뢰할 수 없는 인터페이스로 구성하려면 다음과 같이 하십시오.
절차
CLI 빠른 구성
불량 DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 신속하게 설정하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
단계별 절차
DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 설정하려면 다음과 같이 하십시오.
DHCP 응답이 허용되지 않는 인터페이스(포트)를 지정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
결과
구성 결과를 확인합니다.
[edit ethernet-switching-options secure-access-port] user@switch# show interface ge-0/0/8.0 { no-dhcp-trusted; }