Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de la protección de origen IP para la seguridad de puertos en conmutadores

Los conmutadores LAN Ethernet son vulnerables a ataques que implican suplantación (falsificación) de direcciones IP de origen o direcciones MAC de origen. Puede usar la función de seguridad de puerto de acceso de protección de origen IP para mitigar los efectos de estos ataques.

Suplantación de dirección IP

Los hosts en interfaces de acceso pueden suplantar direcciones IP de origen y direcciones MAC de origen inundando el conmutador con paquetes que contienen direcciones no válidas. Estos ataques, combinados con otras técnicas como los ataques de inundación TCP SYN, pueden causar ataques de denegación de servicio (DoS). Con la suplantación de dirección IP o dirección MAC de origen, el administrador del sistema no puede identificar el origen del ataque. El atacante puede suplantar direcciones en la misma subred o en una subred diferente.

Cómo funciona la protección de origen IP

La protección de origen IP examina cada paquete enviado desde un host conectado a una interfaz de acceso no confiable en el conmutador. La dirección IP, la dirección MAC, la VLAN y la interfaz asociadas con el host se comprueban contra las entradas almacenadas en la base de datos de espionaje DHCP. Si el encabezado del paquete no coincide con una entrada válida en la base de datos de espionaje DHCP, el conmutador no reenvía el paquete, es decir, el paquete se descarta.

Nota:
  • Si el conmutador utiliza Junos OS para la serie EX con compatibilidad con el estilo de configuración Enhanced Layer 2 Software (ELS), la supersonía DHCP se habilita automáticamente cuando habilita la protección de origen IP en una VLAN. Consulte Configurar protección de origen IP (ELS).

  • Si el conmutador utiliza Junos OS para la serie EX sin admitir el estilo de configuración Enhanced Layer 2 Software (ELS) y habilita la protección de origen IP en una VLAN, también debe habilitar explícitamente la supersión dhcp en esa VLAN. De lo contrario, el valor predeterminado de ninguna inspección DHCP se aplica a la VLAN. Consulte Configurar protección de origen IP (no ELS).

La protección de origen IP examina los paquetes enviados desde interfaces de acceso no confiables en esas VLAN. De forma predeterminada, las interfaces de acceso no son de confianza y las interfaces troncales son de confianza. La protección de origen IP no examina los paquetes enviados al conmutador por dispositivos conectados a interfaces de confianza para que se pueda conectar un servidor DHCP a esa interfaz para proporcionar direcciones IP dinámicas.

Nota:

En un conmutador EX9200, puede establecer una interfaz troncal como untrusted para que admita protección de origen IP.

Protección de origen IPv6

La protección de origen IPv6 está disponible en conmutadores compatibles con el espionaje DHCPv6. Para determinar si el conmutador es compatible con la inspección DHCPv6, consulte Explorador de funciones.

La tabla de espionaje DHCP

La protección de origen IP obtiene información sobre la dirección IP a los enlaces de direcciones MAC (enlace IP-MAC) de la tabla de inspección DHCP, también conocida como tabla de enlace DHCP. La tabla de espionaje DHCP se completa mediante la inspección dinámica de DHCP o mediante la configuración de direcciones IP estáticas específicas para los enlaces de direcciones MAC. Para obtener más información acerca de la tabla de espionaje DHCP, consulte Descripción de la snooping dhcp (ELS).

Para mostrar la tabla de espionaje DHCP, ejecute el comando del modo operativo que aparece en la CLI del conmutador.

Para el espionaje DHCP:

Para el espionaje DHCPv6:

Usos típicos de otras funciones de Junos OS con protección de origen IP

Puede configurar la protección de origen IP con varias otras funciones de seguridad de puerto, como las siguientes:

  • Etiquetado de VLAN (utilizado para VLAN de voz)

  • GRES (conmutación elegante del motor de enrutamiento)

  • Configuraciones de chasis virtual

  • Grupos de agregación de vínculos (LAG)

  • Autenticación de usuario 802.1X en un solo suplicante, suplicante seguro único o en modo de suplicante múltiple.

    Nota:

    Mientras implementa la autenticación de usuario 801.X en un solo supplicante seguro o en modo de suplicante múltiple, utilice las siguientes pautas de configuración:

    • Si la interfaz 802.1X forma parte de una VLAN basada en MAC sin etiquetar y desea habilitar la protección de origen IP y la supersión DHCP en esa VLAN, debe habilitar la protección de origen IP y la supersonía DHCP en todas las VLAN dinámicas en las que la interfaz tenga pertenencia sin etiquetar. Esto también se aplica a la protección de origen IPv6 y al espionaje DHCPv6.

    • Si la interfaz 802.1X es parte de una VLAN etiquetada basada en MAC y desea habilitar la protección de origen IP y la vigilancia DHCP en esa VLAN, debe habilitar la protección de origen IP y la vigilancia DHCP en todas las VLAN dinámicas en las que la interfaz haya etiquetado la pertenencia. Esto también se aplica a la protección de origen IPv6 y al espionaje DHCPv6.