예: DHCP 스누핑 데이터베이스 공격으로부터 보호
DHCP 스누핑 데이터베이스에 대한 한 가지 공격 유형으로, 침입자는 다른 신뢰할 수 없는 인터페이스의 클라이언트와 동일한 MAC 주소를 가진 DHCP 클라이언트를 신뢰할 수 없는 액세스 인터페이스에 도입합니다. 그런 다음 침입자는 다른 클라이언트의 DHCP 임대를 획득하여 DHCP 스누핑 테이블의 항목을 변경합니다. 그 후, 합법적인 클라이언트의 유효한 ARP 요청이 차단됩니다.
이 예에서는 DHCP 스누핑 데이터베이스 변경 공격으로부터 스위치를 보호하기 위해 포트 보안 기능인 허용된 MAC 주소를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개
EX 시리즈 스위치의 경우 Junos OS 릴리스 11.4 이상 또는 QFX 시리즈의 경우 Junos OS 릴리스 12.1 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
일반적인 액세스 인터페이스 공격을 완화하기 위해 특정 포트 보안 기능을 구성하기 전에 다음을 수행해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
스위치에 VLAN을 구성했습니다. 플랫폼에 대한 작업을 참조하십시오.
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이 예에서는 일부 클라이언트에 할당된 MAC 주소를 변경하는 DHCP 스누핑 데이터베이스에 대한 공격으로부터 스위치를 보호하는 방법을 설명합니다.
이 예에서는 DHCP 서버에 연결된 스위치에서 포트 보안 기능을 구성하는 방법을 보여 줍니다.
이 예의 설정에는 스위치의 VLAN employee-vlan 이 포함됩니다. 그림 1 은 이 예의 토폴로지를 보여줍니다.
위상수학
위한 네트워크 토폴로지
이 예의 토폴로지 구성 요소는 표 1에 표시되어 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX3200-24P 1개, 포트 24개(PoE 포트 8개) 또는 QFX3500 스위치 1개 |
VLAN 이름 및 ID |
employee-vlan, 태그 20 |
VLAN 서브넷 |
192.0.2.16/28 192.0.2.17 - 192.0.2.30192.0.2.31은 서브넷의 브로드캐스트 주소입니다. |
employee-vlan의 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서 스위치는 이미 다음과 같이 구성되었습니다.
스위치에서 보안 포트 액세스가 활성화됩니다.
DHCP 스누핑은 VLAN employee-vlan에서 활성화됩니다.
모든 액세스 포트는 신뢰할 수 없으며, 이것이 기본 설정입니다.
구성
DHCP 스누핑 데이터베이스 변경 공격으로부터 스위치를 보호하기 위해 허용된 MAC 주소를 구성하려면 다음을 수행합니다.
절차
CLI 빠른 구성
인터페이스에서 허용되는 일부 MAC 주소를 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
단계별 절차
인터페이스에서 허용되는 일부 MAC 주소를 구성하려면 다음을 수행합니다.
인터페이스에서 허용되는 MAC 주소 5개를 구성합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
결과
구성 결과를 확인합니다.
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 00:05:85:3a:82:88 ];
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
허용된 MAC 주소가 스위치에서 올바르게 작동하는지 확인
목적
허용된 MAC 주소가 스위치에서 작동하는지 확인합니다.
행동
MAC 캐시 정보를 표시합니다.
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
의미
출력은 허용된 MAC 주소로 구성된 5개의 MAC 주소가 학습되어 MAC 캐시에 표시됨을 보여줍니다. 허용된 것으로 구성되지 않은 목록의 마지막 MAC 주소가 학습된 주소 목록에 추가되지 않았습니다.