Ejemplo: protección contra la suplantación de direcciones y los ataques DoS de capa 2
Puede configurar la supervisión de DHCP, la inspección dinámica de ARP (DAI) y la limitación de MAC en las interfaces de acceso de un conmutador para proteger el conmutador y la LAN Ethernet contra la suplantación de direcciones y los ataques de denegación de servicio (DoS) de capa 2. Para obtener la configuración básica de estas funciones, puede usar la configuración predeterminada del conmutador para la seguridad del puerto, configurar el límite de MAC y habilitar la supervisión de DHCP y DAI en una VLAN. Puede configurar estas características cuando el servidor DHCP está conectado a un conmutador distinto de aquel al que están conectados los clientes DHCP (dispositivos de red).
En este ejemplo se describe cómo configurar las características de seguridad de puertos en un conmutador cuyos hosts obtienen direcciones IP y tiempos de concesión de un servidor DHCP conectado a un segundo conmutador:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un conmutador serie EX o un conmutador QFX3500: conmutador 1 en este ejemplo.
Un conmutador adicional de la serie EX o un conmutador QFX3500: el conmutador 2 en este ejemplo. No configurar la seguridad de puerto en este segundo conmutador.
Junos OS versión 9.0 o posterior para conmutadores serie EX o Junos OS versión 12.1 o posterior para la serie QFX.
Un servidor DHCP conectado al conmutador 2. Utilice el servidor para proporcionar direcciones IP a los dispositivos de red conectados al conmutador 1.
Al menos dos dispositivos de red (hosts) que conecte a interfaces de acceso en el conmutador 1. Estos dispositivos son clientes DHCP.
Antes de configurar las funciones de seguridad de puertos de limitación de DHCP, DAI y MAC, asegúrese de tener:
Conectó el servidor DHCP al conmutador 2.
Configuró una VLAN en el conmutador 1. Vea la tarea para su plataforma:
Descripción general y topología
Las LAN Ethernet son vulnerables a la suplantación de identidad y a los ataques DoS en los dispositivos de red. Para proteger los dispositivos de tales ataques, puede configurar:
Espionaje DHCP para validar los mensajes del servidor DHCP
DAI para proteger contra la suplantación de ARP
Limitación de MAC para restringir el número de direcciones MAC que el conmutador agrega a su caché de direcciones MAC
En este ejemplo, se muestra cómo configurar estas funciones de seguridad de puertos en el conmutador 1. El conmutador 1 está conectado a otro conmutador (conmutador 2), que no está configurado con funciones de seguridad de puerto. El conmutador 2 está conectado a un servidor DHCP (consulte la figura 1). Los dispositivos de red (hosts) que están conectados al conmutador 1 envían solicitudes de direcciones IP (estos dispositivos de red son clientes DHCP). Esas solicitudes se transmiten del conmutador 1 al conmutador 2 y, a continuación, al servidor DHCP conectado al conmutador 2. Las respuestas a las solicitudes se transmiten a lo largo de la ruta inversa de la seguida por las solicitudes.
La configuración de este ejemplo incluye la VLAN employee-vlan en ambos conmutadores.
La figura 1 muestra la topología de red del ejemplo.
Topología
Los componentes de la topología de este ejemplo se muestran en la tabla 1.
| Configuración de propiedades | |
|---|---|
Hardware del conmutador |
Un conmutador de la serie EX o un conmutador de QFX3500 (conmutador 1) y un conmutador adicional de la serie EX o un conmutador de QFX3500 (conmutador 2) |
Nombre e ID de VLAN |
|
Subredes VLAN |
|
Interfaz troncal en ambos conmutadores |
ge-0/0/11 |
Interfaces de acceso en el conmutador 1 |
ge-0/0/1, ge-0/0/2 y ge-0/0/3 |
Interfaz de acceso en el conmutador 2 |
ge-0/0/1 |
Interfaz para el servidor DHCP |
ge-0/0/1 en el conmutador 2 |
El conmutador 1 se configura inicialmente con la configuración predeterminada de seguridad de puerto. En la configuración predeterminada del conmutador:
El acceso seguro a puertos se activa en el conmutador.
El conmutador no descarta ningún paquete, que es la configuración predeterminada.
La supervisión de DHCP y DAI están deshabilitadas en todas las VLAN.
Todas las interfaces de acceso no son de confianza y las interfaces troncales son de confianza; Esta es la configuración predeterminada.
En las tareas de configuración de este ejemplo, se configura una VLAN en ambos conmutadores.
Además de configurar la VLAN, habilite la supervisión de DHCP en el conmutador 1. En este ejemplo, también habilita DAI y un límite MAC de 5 en el conmutador 1.
Dado que la interfaz que conecta el conmutador 2 con el conmutador 1 es una interfaz troncal, no es necesario configurar esta interfaz para que sea de confianza. Como se señaló anteriormente, las interfaces troncales son de confianza automáticamente, por lo que los mensajes DHCP procedentes del servidor DHCP al conmutador 2 y, a continuación, al conmutador 1 son de confianza.
Configuración de una VLAN, interfaces y funciones de seguridad de puertos en el conmutador 1
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente una VLAN, interfaces y funciones de seguridad de puertos, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set ethernet-switching-options secure-access-port interface ge-0/0/1 mac-limit 5 action drop set ethernet-switching-options secure-access-port vlan employee-vlan arp-inspection set ethernet-switching-options secure-access-port vlan employee-vlan examine-dhcp clear ethernet-switching table interface ge-0/0/1
Procedimiento paso a paso
Para configurar la limitación de MAC, una VLAN e interfaces en el conmutador 1 y habilitar DAI y DHCP en la VLAN:
Configure la VLAN
employee-vlancon ID de VLAN20:[edit vlans] user@switch1# set employee-vlan vlan-id 20
Configure una interfaz en el conmutador 1 como interfaz troncal:
[edit interfaces] user@switch1# set ge-0/0/11 unit 0 family ethernet-switching port-mode trunk
Asocie la VLAN con las interfaces ge-0/0/1, ge-0/0/2, ge-0/0/3 y ge-0/0/11:
[edit interfaces] user@switch1# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/2 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/3 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
Habilite la supervisión de DHCP en la VLAN:
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan examine-dhcp
Habilite DAI en la VLAN:
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan arp-inspection
Configure un límite MAC de
5en ge-0/0/1 y utilice la accióndroppredeterminada (los paquetes con nuevas direcciones se descartan si se supera el límite):[edit ethernet-switching-options secure-access-port] user@switch1# set interface ge-0/0/1 mac-limit 5 drop
Borre las entradas existentes de la tabla de direcciones MAC de la interfaz ge-0/0/1:
user@switch1# clear ethernet-switching table interface ge-0/0/1
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch1# show
ethernet-switching-options {
secure-access-port {
interface ge-0/0/1.0{
mac-limit 5 action drop;
}
vlan employee-vlan {
arp-inspection;
examine-dhcp;
}
}
}
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
port-mode trunk;
members 20;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members 20;
}
}
}
}
}
vlans {
employee-vlan {
vlan-id 20;
}
}
Configuración de una VLAN e interfaces en el conmutador 2
Para configurar la VLAN y las interfaces en el conmutador 2:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la VLAN y las interfaces en el conmutador 2, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20
Procedimiento paso a paso
Para configurar la VLAN y las interfaces en el conmutador 2:
Configure la VLAN
employee-vlancon ID de VLAN20:[edit vlans] user@switch1# set employee-vlan vlan-id 20
Configure una interfaz en el conmutador 2 como interfaz troncal:
[edit interfaces] user@switch2# set ge-0/0/11 unit 0 ethernet-switching port-mode trunk
Asocie la VLAN con las interfaces ge-0/0/1 y ge-0/0/11:
[edit interfaces] user@switch2# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch2# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch2# show
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members 20;
}
}
}
}
}
vlans {
employee-vlan {
vlan-id 20;
}
}
Verificación
Para confirmar que la configuración funciona correctamente.
- Comprobación de que la supervisión de DHCP funciona correctamente en el conmutador 1
- Comprobación de que DAI funciona correctamente en el conmutador 1
- Comprobación de que la limitación de MAC funciona correctamente en el conmutador 1
Comprobación de que la supervisión de DHCP funciona correctamente en el conmutador 1
Propósito
Compruebe que la supervisión de DHCP funciona en el conmutador 1.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.
emita el comando show dhcp snooping binding de modo operativo para mostrar la información de espionaje DHCP cuando sea de confianza la interfaz a través de la cual el conmutador 2 envía las respuestas del servidor DHCP a los clientes conectados al conmutador 1. El servidor ha proporcionado las direcciones IP y las concesiones:
user@switch1> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:90 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:91 192.0.2.21 1230 dynamic employee—vlan ge-0/0/3.0
Significado
La salida muestra, para cada dirección MAC, la dirección IP asignada y el tiempo de concesión, es decir, el tiempo, en segundos, restante antes de que expire la concesión.
Comprobación de que DAI funciona correctamente en el conmutador 1
Propósito
Verifique que DAI esté funcionando en el conmutador 1.
Acción
Envíe algunas solicitudes ARP desde dispositivos de red conectados al conmutador.
Emita el comando show arp inspection statistics de modo operativo para mostrar la información de DAI:
user@switch1> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ---------- –-------------–- ------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 18 15 3
Significado
El resultado muestra el número de paquetes ARP recibidos e inspeccionados por interfaz, con una lista de cuántos paquetes pasaron y cuántos no pasaron la inspección en cada interfaz. El conmutador compara las solicitudes y respuestas ARP con las entradas de la base de datos de espionaje DHCP. Si una dirección MAC o IP en el paquete ARP no coincide con una entrada válida en la base de datos, el paquete se descarta.
Comprobación de que la limitación de MAC funciona correctamente en el conmutador 1
Propósito
Verifique que la limitación de MAC funcione en el conmutador 1.
Acción
Emita el comando show ethernet-switching table de modo operativo para mostrar las direcciones MAC que se aprenden cuando se envían solicitudes DHCP desde hosts en ge-0/0/1:
user@switch1> show ethernet-switching table
Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/1.0 employee-vlan * Flood - ge-0/0/1.0
Significado
El resultado muestra que se han aprendido cinco direcciones MAC para la interfaz ge-0/0/1, que corresponde al límite MAC de 5 conjunto en la configuración. La última línea de la salida muestra que se eliminó una sexta solicitud de dirección MAC, como lo indica el asterisco (*) en la MAC address columna.