예: DHCP 스누핑 데이터베이스 공격으로부터 보호
DHCP 스누핑 데이터베이스에 대한 한 가지 유형의 공격에서 침입자는 신뢰할 수 없는 다른 인터페이스의 클라이언트와 동일한 MAC 주소를 가진 언트러스트 액세스 인터페이스에 DHCP 클라이언트를 도입합니다. 그런 다음 침입자는 다른 클라이언트의 DHCP 리스를 획득하여 DHCP 스누핑 테이블의 엔트리를 변경합니다. 이후, 합법적인 클라이언트에서 ARP 요청이 유효한 것은 차단됩니다.
이 예에서는 DHCP 스누핑 데이터베이스 변경 공격으로부터 스위치를 보호하기 위해 포트 보안 기능인 허용 MAC 주소를 구성하는 방법을 설명합니다.
요구 사항
이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개
QFX 시리즈용 EX 시리즈 스위치 또는 Junos OS 릴리스 12.1 이상용 Junos OS 릴리스 11.4 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
일반적인 액세스 인테페이스 공격을 완화하기 위해 특정 포트 보안 기능을 구성하기 전에 다음을 수행해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
스위치에서 VLAN을 구성했습니다. 플랫폼의 작업 보기:
예: QFX 시리즈를 위한 여러 VLAN으로 브리징 설정
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스의 스푸핑 및 DoS 공격을 해결하기에 취약합니다. 이 예에서는 일부 클라이언트에 할당된 MAC 주소를 변경하는 DHCP 스누핑 데이터베이스에 대한 공격으로부터 스위치를 보호하는 방법을 설명합니다.
이 예에서는 DHCP 서버에 연결된 스위치에서 포트 보안 기능을 구성하는 방법을 보여줍니다.
이 예제의 설정에는 스위치의 VLAN 직원 vlan 이 포함됩니다. 그림 1 은 이 예제의 토폴로지를 보여주고 있습니다.
토폴로지
위한 네트워크 토폴로지
이 예제의 토폴로지 구성 요소는 표 1에 나와 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX3200-24P 1개, 포트 24개(PoE 포트 8개) 또는 QFX3500 스위치 1개 |
VLAN 이름 및 ID |
직원 vlan, 태그 20 |
VLAN 서브넷 |
192.0.2.16/28 192.0.2.17 ~ 192.0.2.30192.0.2.31 은 서브넷의 브로드캐스트 주소입니다. |
직원 vlan 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서는 스위치가 이미 다음과 같이 구성되었습니다.
스위치에서 안전한 포트 액세스가 활성화됩니다.
VLAN 직원 vlan에서 DHCP 스누핑이 활성화됩니다.
모든 액세스 포트는 신뢰할 수 없는 것으로, 기본 설정입니다.
구성
DHCP 스누핑 데이터베이스 변경 공격으로부터 스위치를 보호하기 위해 허용된 MAC 주소를 구성하려면 다음을 수행합니다.
절차
CLI 빠른 구성
인터페이스에서 허용된 MAC 주소를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
단계별 절차
인터페이스에서 허용된 MAC 주소를 구성하려면 다음을 수행합니다.
인터페이스에서 허용된 5개의 MAC 주소를 구성합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
결과
구성 결과를 확인합니다.
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 00:05:85:3a:82:88 ];
}
확인
구성이 올바르게 작동하는지 확인합니다.
허용된 MAC 주소가 스위치에서 올바르게 작동하는지 검증
목적
허용된 MAC 주소가 스위치에서 작동하는지 확인합니다.
작업
MAC 캐시 정보 표시:
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
의미
이 출력은 허용된 MAC 주소로 구성된 5개의 MAC 주소가 학습되어 MAC 캐시에 표시되는 것을 보여줍니다. 허용된 대로 구성되지 않은 목록의 마지막 MAC 주소는 학습된 주소 목록에 추가되지 않았습니다.