Ejemplo: configuración de la limitación de MAC
Ejemplo: Protección contra ataques de inanición de DHCP
En un ataque de inanición de DHCP, un atacante inunda una LAN Ethernet con solicitudes DHCP de direcciones MAC falsificadas (falsificadas), lo que hace que el servidor DHCP sobrecargado del conmutador deje de asignar direcciones IP y tiempos de concesión a clientes DHCP legítimos en el conmutador (de ahí el nombre de inanición). Las solicitudes de esos clientes se descartan o se dirigen a un servidor DHCP no autorizado configurado por el atacante.
En este ejemplo se describe cómo configurar la limitación de MAC, una característica de seguridad de puertos, para proteger el conmutador contra ataques de inanición de DHCP:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un conmutador serie EX o QFX3500
Junos OS versión 9.0 o posterior para conmutadores de la serie EX, o Junos OS versión 12.1 o posterior para el conmutador de la serie QFX
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el conmutador
Antes de configurar la limitación de MAC, una característica de seguridad de puertos, para mitigar los ataques de inanición de DHCP, asegúrese de tener:
Conectó el servidor DHCP al conmutador.
Configuró la VLAN employee-vlan en el conmutador.
Descripción general y topología
Las LAN Ethernet son vulnerables a la suplantación de identidad y a los ataques DoS en los dispositivos de red. En este ejemplo se describe cómo proteger el conmutador contra un tipo común de ataque, un ataque de inanición DHCP.
En este ejemplo se muestra cómo configurar las características de seguridad de puertos en un conmutador conectado a un servidor DHCP. La configuración de este ejemplo incluye la VLAN employee-vlan en el conmutador. El procedimiento para crear esa VLAN en un conmutador serie EX se describe en el tema: Ejemplo: Configuración de puentes con varias VLAN para conmutadores serie EX. El procedimiento no se repite aquí.
La figura 1 ilustra la topología de este ejemplo.
Topología
básica de puertos
Los componentes de la topología de este ejemplo se muestran en la tabla 1.
| Configuración de propiedades | |
|---|---|
Hardware del conmutador |
Conmutador QFX3500 |
Nombre e ID de VLAN |
empleado-VLAN |
Interfaces en employee-vlan |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interfaz para el servidor DHCP |
ge-0/0/8 |
En este ejemplo, el conmutador ya se ha configurado de la siguiente manera:
El acceso seguro a puertos se activa en el conmutador.
No se establece ningún límite de MAC en ninguna de las interfaces.
La supervisión de DHCP está deshabilitada en la VLAN employee-vlan.
Todas las interfaces de acceso no son de confianza, que es la configuración predeterminada.
Configuración
Para configurar la función de seguridad de puerto de limitación de MAC para proteger el conmutador contra ataques de inanición de DHCP:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la limitación de MAC, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 3 action drop set interface ge-0/0/2 mac-limit 3 action drop
Procedimiento paso a paso
Configure la limitación de MAC:
Configure un límite MAC de 3 en ge-0/0/1 y especifique que los paquetes con nuevas direcciones se descarten si se ha superado el límite en la interfaz:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge–0/0/1mac-limit 3 action drop
Configure un límite MAC de 3 en ge-0/0/2 y especifique que los paquetes con nuevas direcciones se descarten si se ha superado el límite en la interfaz:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 mac-limit 3 action drop
Resultados
Compruebe los resultados de la configuración:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 3 action drop;
}
interface ge-0/0/2.0 {
mac-limit 3 action drop;
}
Verificación
Para confirmar que la configuración funciona correctamente:
Comprobación de que la limitación de MAC funciona correctamente en el conmutador
Propósito
Verifique que la limitación de MAC funcione en el conmutador.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.
Muestra las direcciones MAC aprendidas cuando se envían solicitudes DHCP desde hosts en ge-0/0/1 y desde hosts en ge-0/0/2, con ambas interfaces establecidas en un límite MAC de 3 con la caída de acción:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces default * Flood - ge-0/0/2.0 default 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Significado
El resultado de ejemplo muestra que con un límite MAC de 3 para cada interfaz, la solicitud DHCP de una cuarta dirección MAC en ge-0/0/2 se eliminó porque superaba el límite MAC.
Debido a que solo se pueden aprender 3 direcciones MAC en cada una de las dos interfaces, los intentos de ataques de inanición de DHCP fallarán.
Ejemplo: protección contra ataques no autorizados al servidor DHCP
En un ataque de servidor DHCP no autorizado, un atacante ha introducido un servidor no autorizado en la red, lo que le permite conceder concesiones de direcciones IP a los clientes DHCP de la red y asignarse a sí mismo como dispositivo de puerta de enlace.
En este ejemplo se describe cómo configurar una interfaz de servidor DHCP como no confiable para proteger el conmutador de un servidor DHCP no autorizado:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un conmutador de la serie EX o un conmutador de QFX3500
Junos OS versión 9.0 o posterior para conmutadores de la serie EX o Junos OS versión 12.1 o posterior para la serie QFX
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el conmutador
Antes de configurar una interfaz de servidor DHCP que no sea de confianza para mitigar los ataques a servidores DHCP no autorizados, asegúrese de haber hecho lo siguiente:
Conectó el servidor DHCP al conmutador.
Se habilitó la supervisión de DHCP en la VLAN.
Configuró una VLAN en el conmutador. Vea la tarea para su plataforma:
Descripción general y topología
Las LAN Ethernet son vulnerables a la suplantación de identidad y a los ataques DoS en los dispositivos de red. En este ejemplo se describe cómo proteger el conmutador de ataques no autorizados al servidor DHCP.
En este ejemplo se muestra cómo configurar explícitamente una interfaz que no es de confianza en un conmutador EX3200-24P y un conmutador QFX3500. La figura 2 ilustra la topología de este ejemplo.
Topología
básica de puertos
Los componentes de la topología de este ejemplo se muestran en la tabla 2.
| Configuración de propiedades | |
|---|---|
Hardware del conmutador |
Un conmutador EX3200-24P, 24 puertos (8 puertos PoE) o un conmutador QFX3500 |
Nombre e ID de VLAN |
empleado-VLAN, etiqueta 20 |
Subredes VLAN |
192.0.2.16/28 192.0.2.17 a 192.0.2.30192.0.2.31 es la dirección de difusión de la subred |
Interfaces en employee-vlan |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interfaz para el servidor DHCP |
ge-0/0/8 |
En este ejemplo, el conmutador ya se ha configurado de la siguiente manera:
El acceso seguro a puertos se activa en el conmutador.
La supervisión de DHCP está habilitada en la VLAN employee-vlan.
La interfaz (puerto) donde el servidor DHCP no autorizado se ha conectado al conmutador es actualmente de confianza.
Configuración
Para configurar la interfaz del servidor DHCP como no confiable porque la interfaz está siendo utilizada por un servidor DHCP no autorizado:
Procedimiento
Configuración rápida de CLI
Para establecer rápidamente la interfaz del servidor DHCP no autorizado como no confiable, copie el siguiente comando y péguelo en la ventana terminal del conmutador:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
Procedimiento paso a paso
Para establecer la interfaz del servidor DHCP como no confiable:
Especifique la interfaz (puerto) desde la que no se permiten las respuestas DHCP:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
Resultados
Compruebe los resultados de la configuración:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
Verificación
Confirme que la configuración funciona correctamente.
Comprobar que la interfaz del servidor DHCP no es de confianza
Propósito
Compruebe que el servidor DHCP no es de confianza.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.
Muestra la información de espionaje DHCP cuando el puerto en el que el servidor DHCP se conecta al conmutador no es de confianza.
Significado
No hay ningún resultado del comando porque no se agregan entradas a la base de datos de espionaje DHCP.
Ejemplo: Protección contra ataques de desbordamiento de la tabla de conmutación Ethernet
En un ataque de desbordamiento de la tabla de conmutación Ethernet, un intruso envía tantas solicitudes desde nuevas direcciones MAC que la tabla de conmutación Ethernet se llena y luego se desborda, lo que obliga al conmutador a difundir todos los mensajes.
En este ejemplo se describe cómo configurar la limitación de MAC y las direcciones MAC permitidas, dos funciones de seguridad de puertos, para proteger el conmutador de ataques a la tabla de conmutación Ethernet:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un conmutador serie EX o un conmutador QFX3500
Junos OS versión 9.0 o posterior para conmutadores de la serie EX o Junos OS 12.1 o posterior para la serie QFX.
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el conmutador
Antes de configurar características específicas de seguridad de puertos para mitigar ataques comunes a la interfaz de acceso, asegúrese de tener:
Conectó el servidor DHCP al conmutador.
Configuró una VLAN en el conmutador. Vea la tarea para su plataforma:
Descripción general y topología
Las LAN Ethernet son vulnerables a la suplantación de identidad y a los ataques DoS en los dispositivos de red. En este ejemplo se describe cómo proteger el conmutador de un ataque a la tabla de conmutación Ethernet que hace que la tabla se desborde y, por lo tanto, obliga al conmutador a difundir todos los mensajes.
En este ejemplo se muestra cómo configurar las características de seguridad de puertos en un conmutador conectado a un servidor DHCP.
La configuración de este ejemplo incluye la VLAN employee-vlan en el conmutador. El procedimiento para crear esa VLAN se describe en el tema Ejemplo: Configuración de puentes con varias VLAN para conmutadores de la serie EX y Ejemplo: Configuración de puentes con varias VLAN para la serie QFX. Este procedimiento no se repite aquí. La figura 3 ilustra la topología de este ejemplo.
Topología
básica de puertos
Los componentes de la topología de este ejemplo se muestran en la tabla 3.
| Configuración de propiedades | |
|---|---|
Hardware del conmutador |
Un conmutador de la serie EX o un conmutador de QFX3500 |
Nombre e ID de VLAN |
empleado-VLAN, etiqueta 20 |
Subredes VLAN |
192.0.2.16/28192.0.2.17 a 192.0.2.30 192.0.2.31 es la dirección de difusión de la subred |
Interfaces en employee-vlan |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interfaz para el servidor DHCP |
ge-0/0/8 |
En este ejemplo, utilice la función de límite de MAC para controlar el número total de direcciones MAC que se pueden agregar a la tabla de conmutación Ethernet para la interfaz especificada. Utilice la función Direcciones MAC permitidas para asegurarse de que se garantiza que las direcciones de los dispositivos de red cuyo acceso a la red es crítico se incluirán en la tabla de conmutación Ethernet.
En este ejemplo, el conmutador ya se ha configurado de la siguiente manera:
El acceso seguro a puertos se activa en el conmutador.
No se establece ningún límite de MAC en ninguna de las interfaces.
Todas las interfaces de acceso no son de confianza, que es la configuración predeterminada.
Configuración
Para configurar la limitación de MAC y algunas direcciones MAC permitidas para proteger el conmutador contra ataques de desbordamiento de la tabla de conmutación Ethernet:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la limitación de MAC, borre la tabla de reenvío de MAC y configure algunas direcciones MAC permitidas, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 action drop set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 exit exit clear ethernet-switching-table interface ge-0/0/1
Procedimiento paso a paso
Configure la limitación de MAC y algunas direcciones MAC permitidas:
Configure un límite MAC de 4 en ge-0/0/1 y especifique que los paquetes entrantes con direcciones diferentes se descarten una vez que se supere el límite en la interfaz:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit (Access Port Security) 4 action drop
Borre las entradas actuales para la interfaz ge-0/0/1 de la tabla de reenvío de direcciones MAC:
user@switch# clear ethernet-switching-table interface ge-0/0/1
Configure las direcciones MAC permitidas en ge-0/0/2:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85
Resultados
Compruebe los resultados de la configuración:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4 action drop;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 ];
}
Verificación
Para confirmar que la configuración funciona correctamente:
Comprobación de que la limitación de MAC funciona correctamente en el conmutador
Propósito
Verifique que la limitación de MAC funcione en el conmutador.
Acción
Muestre la información de caché MAC después de que se hayan enviado solicitudes DHCP desde hosts en ge-0/0/1, con la interfaz establecida en un límite MAC de 4 con la caída de acción y después de configurar cuatro direcciones MAC permitidas en la interfaz ge/0/0/2:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:71 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:74 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan * Flood 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
El resultado de ejemplo muestra que con un límite MAC de 4 para la interfaz, la solicitud DHCP para una quinta dirección MAC en ge-0/0/1 se descartó porque excedió el límite MAC y que solo se aprendieron las direcciones MAC permitidas especificadas en la interfaz ge-0/0/2 .