Descripción de IP Source Guard para la seguridad de puertos en conmutadores
Los conmutadores LAN Ethernet son vulnerables a ataques que implican suplantación (falsificación) de direcciones IP de origen o direcciones MAC de origen. Puede utilizar la característica de seguridad del puerto de acceso de protección de origen IP para mitigar los efectos de estos ataques.
Suplantación de direcciones IP
Los hosts en las interfaces de acceso pueden suplantar las direcciones IP de origen y las direcciones MAC de origen al inundar el conmutador con paquetes que contienen direcciones no válidas. Estos ataques, combinados con otras técnicas, como los ataques de inundación TCP SYN, pueden provocar ataques de denegación de servicio (DoS). Con la suplantación de la dirección IP de origen o de la dirección MAC de origen, el administrador del sistema no puede identificar el origen del ataque. El atacante puede suplantar direcciones en la misma subred o en una subred diferente.
Cómo funciona IP Source Guard
La protección de origen IP examina cada paquete enviado desde un host conectado a una interfaz de acceso que no es de confianza en el conmutador. La dirección IP, la dirección MAC, la VLAN y la interfaz asociada con el host se comparan con las entradas almacenadas en la base de datos de espionaje DHCP. Si el encabezado del paquete no coincide con una entrada válida de la base de datos de espionaje DHCP, el conmutador no reenvía el paquete, es decir, el paquete se descarta.
Si el conmutador utiliza Junos OS para la serie EX compatible con el estilo de configuración Enhanced Layer 2 Software (ELS), la supervisión de DHCP se habilita automáticamente cuando se habilita la protección de origen IP en una VLAN. Consulte Configuración de IP Source Guard (ELS).
Si el conmutador utiliza Junos OS para la serie EX sin admitir el estilo de configuración Enhanced Layer 2 Software (ELS) y habilita la protección de origen IP en una VLAN, también debe habilitar explícitamente la supervisión de DHCP en esa VLAN. De lo contrario, el valor predeterminado de No snooping DHCP se aplica a la VLAN. Consulte Configuración de IP Source Guard (no ELS).
La protección de origen IP examina los paquetes enviados desde interfaces de acceso que no son de confianza en esas VLAN. De forma predeterminada, las interfaces de acceso no son de confianza y las interfaces troncales son de confianza. La protección de origen IP no examina los paquetes enviados al conmutador por dispositivos conectados a interfaces de confianza para que un servidor DHCP pueda conectarse a esa interfaz para proporcionar direcciones IP dinámicas.
En un conmutador EX9200, puede establecer una interfaz troncal para untrusted
que admita protección de origen IP.
Protección de origen IPv6
El protector de origen IPv6 está disponible en conmutadores compatibles con la supervisión de DHCPv6. Para determinar si el conmutador admite la supervisión de DHCPv6, consulte el Explorador de características.
La tabla de espionaje de DHCP
La protección de origen IP obtiene información acerca de los enlaces de dirección IP a direcciones MAC (enlace IP-MAC) de la tabla de espionaje DHCP, también conocida como tabla de enlace DHCP. La tabla de espionaje DHCP se rellena mediante espionaje DHCP dinámico o mediante la configuración de enlaces de dirección IP estática específica a direcciones MAC. Para obtener más información acerca de la tabla de espionaje DHCP, consulte Descripción de la supervisión de DHCP (ELS).
Para mostrar la tabla de espionaje DHCP, emita el comando de modo operativo que aparece en la CLI del conmutador.
Para espionaje DHCP:
(Para conmutadores que no son ELS)
show ip-source-guard
(Solo conmutadores ELS)
show dhcp-security binding
Para espionaje DHCPv6:
(Para conmutadores que no son ELS)
show dhcpv6 snooping binding
(Solo conmutadores ELS)
show dhcp-security ipv6 binding
Usos típicos de otras funciones de Junos OS con IP Source Guard
Puede configurar la protección de origen IP con otras funciones de seguridad de puerto, entre las que se incluyen:
Etiquetado de VLAN (usado para VLAN de voz)
GRES (cambio elegante del motor de enrutamiento)
Configuraciones de Virtual Chassis
Grupos de agregación de vínculos (LAG)
Autenticación de usuario 802.1X en modo de suplicante único, suplicante seguro único o suplicante múltiple.
Nota:Al implementar la autenticación de usuario 801.X en modo suplicante seguro único o suplicante múltiple, use las siguientes instrucciones de configuración:
Si la interfaz 802.1X forma parte de una VLAN basada en MAC sin etiquetar y desea habilitar la protección de origen IP y el espionaje DHCP en esa VLAN, debe habilitar la protección de origen IP y la supervisión DHCP en todas las VLAN dinámicas en las que la interfaz tenga pertenencia sin etiquetar. Esto también se aplica a la protección de origen IPv6 y al espionaje DHCPv6.
Si la interfaz 802.1X forma parte de una VLAN basada en MAC etiquetada y desea habilitar la protección de origen IP y el espionaje DHCP en esa VLAN, debe habilitar la protección de origen IP y la supervisión DHCP en todas las VLAN dinámicas en las que la interfaz haya etiquetado la pertenencia. Esto también se aplica a la protección de origen IPv6 y al espionaje DHCPv6.