EN ESTA PÁGINA
Ejemplo: protección contra ataques de base de datos DHCP snooping
En un tipo de ataque a la base de datos de espionaje DHCP, un intruso introduce un cliente DHCP en una interfaz de acceso que no es de confianza con una dirección MAC idéntica a la de un cliente en otra interfaz que no es de confianza. A continuación, el intruso adquiere la concesión DHCP de ese otro cliente, cambiando así las entradas de la tabla de espionaje DHCP. Posteriormente, se bloquean lo que habrían sido solicitudes ARP válidas del cliente legítimo.
En este ejemplo se describe cómo configurar las direcciones MAC permitidas, una característica de seguridad de puertos, para proteger el conmutador de ataques de alteración de la base de datos de espionaje DHCP:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un conmutador de la serie EX o un conmutador de QFX3500
Junos OS versión 11.4 o posterior para conmutadores de la serie EX o Junos OS versión 12.1 o posterior para la serie QFX
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el conmutador
Antes de configurar características específicas de seguridad de puertos para mitigar los ataques comunes de acceso inteface, asegúrese de tener:
Conectó el servidor DHCP al conmutador.
Configuró una VLAN en el conmutador. Vea la tarea para su plataforma:
Descripción general y topología
Las LAN Ethernet son vulnerables a la suplantación de identidad y a los ataques DoS en los dispositivos de red. En este ejemplo se describe cómo proteger el conmutador de un ataque a la base de datos de espionaje DHCP que altera las direcciones MAC asignadas a algunos clientes.
En este ejemplo se muestra cómo configurar las características de seguridad de puertos en un conmutador que está conectado a un servidor DHCP.
La configuración de este ejemplo incluye la VLAN employee-vlan en el conmutador. La figura 1 ilustra la topología de este ejemplo.
Topología
básica de puertos
Los componentes de la topología de este ejemplo se muestran en la tabla 1.
| Configuración de propiedades | |
|---|---|
Hardware del conmutador |
Un conmutador EX3200-24P, 24 puertos (8 puertos PoE) o un conmutador QFX3500 |
Nombre e ID de VLAN |
empleado-VLAN, etiqueta 20 |
Subredes VLAN |
192.0.2.16/28 192.0.2.17 a 192.0.2.30192.0.2.31 es la dirección de difusión de la subred |
Interfaces en employee-vlan |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interfaz para el servidor DHCP |
ge-0/0/8 |
En este ejemplo, el conmutador ya se ha configurado de la siguiente manera:
El acceso seguro a puertos se activa en el conmutador.
La supervisión de DHCP está habilitada en la VLAN employee-vlan.
Todos los puertos de acceso no son de confianza, que es la configuración predeterminada.
Configuración
Para configurar direcciones MAC permitidas para proteger el conmutador contra ataques de alteración de bases de datos de espionaje DHCP:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente algunas direcciones MAC permitidas en una interfaz, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Procedimiento paso a paso
Para configurar algunas direcciones MAC permitidas en una interfaz:
Configure las cinco direcciones MAC permitidas en una interfaz:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Resultados
Compruebe los resultados de la configuración:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 00:05:85:3a:82:88 ];
}
Verificación
Confirme que la configuración funciona correctamente.
Verificar que las direcciones MAC permitidas funcionen correctamente en el conmutador
Propósito
Verifique que las direcciones MAC permitidas funcionen en el conmutador.
Acción
Mostrar la información de caché MAC:
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
El resultado muestra que las cinco direcciones MAC configuradas como direcciones MAC permitidas se han aprendido y se muestran en la caché MAC. La última dirección MAC de la lista, una que no se había configurado como permitida, no se ha agregado a la lista de direcciones aprendidas.