EN ESTA PÁGINA
Ejemplo: protección contra ataques no autorizados al servidor DHCP
En un ataque de servidor DHCP no autorizado, un atacante ha introducido un servidor no autorizado en la red, lo que le permite conceder concesiones de direcciones IP a los clientes DHCP de la red y asignarse a sí mismo como dispositivo de puerta de enlace.
En este ejemplo se describe cómo configurar una interfaz de servidor DHCP como no confiable para proteger el conmutador de un servidor DHCP no autorizado:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un conmutador de la serie EX o un conmutador de QFX3500
Junos OS versión 9.0 o posterior para conmutadores de la serie EX o Junos OS versión 12.1 o posterior para la serie QFX
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el conmutador
Antes de configurar una interfaz de servidor DHCP que no sea de confianza para mitigar los ataques a servidores DHCP no autorizados, asegúrese de haber hecho lo siguiente:
Conectó el servidor DHCP al conmutador.
Se habilitó la supervisión de DHCP en la VLAN.
Configuró una VLAN en el conmutador. Vea la tarea para su plataforma:
Descripción general y topología
Las LAN Ethernet son vulnerables a la suplantación de identidad y a los ataques DoS en los dispositivos de red. En este ejemplo se describe cómo proteger el conmutador de ataques no autorizados al servidor DHCP.
En este ejemplo se muestra cómo configurar explícitamente una interfaz que no es de confianza en un conmutador EX3200-24P y un conmutador QFX3500. La figura 1 ilustra la topología de este ejemplo.
Topología
básica de puertos
Los componentes de la topología de este ejemplo se muestran en la tabla 1.
| Configuración de propiedades | |
|---|---|
Hardware del conmutador |
Un conmutador EX3200-24P, 24 puertos (8 puertos PoE) o un conmutador QFX3500 |
Nombre e ID de VLAN |
empleado-VLAN, etiqueta 20 |
Subredes VLAN |
192.0.2.16/28 192.0.2.17 a 192.0.2.30192.0.2.31 es la dirección de difusión de la subred |
Interfaces en employee-vlan |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interfaz para el servidor DHCP |
ge-0/0/8 |
En este ejemplo, el conmutador ya se ha configurado de la siguiente manera:
El acceso seguro a puertos se activa en el conmutador.
La supervisión de DHCP está habilitada en la VLAN employee-vlan.
La interfaz (puerto) donde el servidor DHCP no autorizado se ha conectado al conmutador es actualmente de confianza.
Configuración
Para configurar la interfaz del servidor DHCP como no confiable porque la interfaz está siendo utilizada por un servidor DHCP no autorizado:
Procedimiento
Configuración rápida de CLI
Para establecer rápidamente la interfaz del servidor DHCP no autorizado como no confiable, copie el siguiente comando y péguelo en la ventana terminal del conmutador:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
Procedimiento paso a paso
Para establecer la interfaz del servidor DHCP como no confiable:
Especifique la interfaz (puerto) desde la que no se permiten las respuestas DHCP:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
Resultados
Compruebe los resultados de la configuración:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
Verificación
Confirme que la configuración funciona correctamente.
Comprobar que la interfaz del servidor DHCP no es de confianza
Propósito
Compruebe que el servidor DHCP no es de confianza.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.
Muestra la información de espionaje DHCP cuando el puerto en el que el servidor DHCP se conecta al conmutador no es de confianza.
Significado
No hay ningún resultado del comando porque no se agregan entradas a la base de datos de espionaje DHCP.