Descripción general de la seguridad portuaria
Características de seguridad de puertos
Las LAN Ethernet son vulnerables a ataques como la suplantación de direcciones (falsificación) y la denegación de servicio (DoS) de capa 2 en dispositivos de red. Las funciones de seguridad de puertos ayudan a proteger los puertos de acceso de su dispositivo contra la pérdida de información y productividad que pueden causar dichos ataques.
Junos OS se endurece mediante la separación de los planos de reenvío de control y servicios, y cada función se ejecuta en la memoria protegida. La CPU del plano de control está protegida por filtros de limitación de velocidad, políticas de enrutamiento y firewall para garantizar el tiempo de actividad del conmutador incluso bajo ataques graves.
Junos OS proporciona funciones para ayudar a proteger los puertos en un dispositivo. Los puertos se pueden clasificar como de confianza o no confiables. Las directivas se aplican a cada categoría para proteger los puertos contra distintos tipos de ataques.
Las funciones de seguridad del puerto de acceso, como la inspección dinámica del Protocolo de resolución de direcciones (ARP), la supervisión de DHCP y la limitación de MAC, se controlan mediante un único comando de la CLI de Junos OS. Las funciones básicas de seguridad de puertos están habilitadas en la configuración predeterminada del dispositivo. Puede configurar características adicionales con pasos de configuración mínimos. En función de la característica en particular, puede configurarla en VLAN o en interfaces de dominio puente.
A partir de Junos OS versión 18.4R1, la supervisión de DHCP se produce en puertos de confianza para los siguientes conmutadores de la serie Juniper, EX2300, EX4600 y QFX5K. Antes de Junos OS versión 18.4R1, para estos dispositivos, esto solo era cierto para la supervisión de DHCPv6. Además, la supervisión de DHCP se produce en puertos de confianza para conmutadores de la serie EX9200 y Fusion Enterprises que ejecutan Junos OS versión 19.1R1 y posteriores.
Los conmutadores Ethernet de la serie EX de Juniper Networks ofrecen las siguientes funciones de seguridad de hardware y software:
Console Port: permite utilizar el puerto de la consola para conectarse al motor de enrutamiento a través de un cable RJ-45. A continuación, utilice la interfaz de línea de comandos (CLI) para configurar el conmutador.
Out-of-Band Management—Un puerto Ethernet de administración dedicado en el panel posterior permite la administración fuera de banda.
Software Images—Todas las imágenes de Junos OS están firmadas por la autoridad de certificación (CA) de Juniper Networks con infraestructura de clave pública (PKI).
User Authentication, Authorization, and Accounting (AAA)—Las características incluyen:
Cuentas de usuario y de grupo con cifrado y autenticación de contraseña.
Niveles de privilegios de acceso configurables para clases de inicio de sesión y plantillas de usuario.
Autenticación RADIUS, autenticación TACACS+ o ambas, para autenticar a los usuarios que intentan acceder al conmutador.
Auditoría de cambios de configuración a través del registro del sistema o RADIUS/TACACS+.
802.1X Authentication: proporciona control de acceso a la red. Los suplicantes (hosts) se autentican cuando se conectan inicialmente a una LAN. La autenticación de los suplicantes antes de que reciban una dirección IP de un servidor DHCP evita que los suplicantes no autorizados obtengan acceso a la LAN. Los conmutadores de la serie EX admiten métodos de Protocolo de autenticación extensible (EAP), incluidos EAP-MD5, EAP-TLS, EAP-TTLS y EAP-PEAP.
Port Security—Las funciones de seguridad del puerto de acceso compatibles con los dispositivos de conmutación son:
Espionaje DHCP: filtra y bloquea la entrada de mensajes del servidor del Protocolo de configuración dinámica de host (DHCP) en puertos que no son de confianza, y crea y mantiene una base de datos de información de concesión DHCP, que se denomina base de datos de espionaje DHCP.
Nota:La supervisión DHCP no está habilitada en la configuración predeterminada del dispositivo de conmutación. La supervisión de DHCP está habilitada en un dominio de VLAN o de puente. Los detalles de habilitar el espionaje DHCP dependen del dispositivo en particular.
Servidor DHCP de confianza: configurar el servidor DHCP en un puerto de confianza protege contra el envío de concesiones de servidores DHCP no autorizados. Esta característica se habilita en una interfaz (puerto). De forma predeterminada, los puertos de acceso no son de confianza y los puertos troncales son de confianza. (Los puertos de acceso son los puertos de conmutador que se conectan a puntos de conexión Ethernet, como PC y laptops de usuario, servidores e impresoras. Los puertos troncales son los puertos del conmutador que conectan un conmutador Ethernet a otros conmutadores o enrutadores.)
Espionaje DHCPv6: espionaje DHCP para IPv6.
Opción 82 de DHCP: también conocida como opción Información del agente de retransmisión DHCP. Esta función DHCPv4 ayuda a proteger el dispositivo de conmutación contra ataques como la suplantación de direcciones IP y direcciones MAC y la inanición de direcciones IP DHCP. La opción 82 proporciona información acerca de la ubicación de red de un cliente DHCP, y el servidor DHCP utiliza esta información para implementar direcciones IP u otros parámetros para el cliente.
Opción 37 de DHCPv6: la opción 37 es la opción de ID remoto para DHCPv6 y se utiliza para insertar información sobre la ubicación de red del host remoto en paquetes DHCPv6. Habilitar la opción 37 en una VLAN.
Nota:El espionaje DHCPv6 con la opción 37 no es compatible con la serie MX.
Opción 18 de DHCPv6: la opción 18 es la opción de ID de circuito para DHCPv6 y se utiliza para insertar información sobre el puerto de cliente en los paquetes DHCPv6. Esta opción incluye otros detalles que se pueden configurar opcionalmente, como el prefijo y la descripción de la interfaz.
Opción 16 de DHCPv6: la opción 16 es la opción de ID de proveedor para DHCPv6 y se utiliza para insertar información sobre el proveedor del hardware cliente en paquetes DHCPv6.
Inspección ARP dinámica (DAI): evita los ataques de suplantación del Protocolo de resolución de direcciones (ARP). Las solicitudes y respuestas ARP se comparan con las entradas en la base de datos de espionaje DHCP, y las decisiones de filtrado se toman sobre la base de los resultados de esas comparaciones. DAI se habilita en una VLAN.
Inspección de descubrimiento de vecinos IPv6: evita ataques de suplantación de direcciones IPv6. Las solicitudes y respuestas de descubrimiento de vecinos se comparan con las entradas en la base de datos de espionaje DHCPv6, y las decisiones de filtrado se toman en función de los resultados de esas comparaciones. Habilitar la inspección de detección de vecinos en una VLAN.
Protección de origen IP: mitiga los efectos de los ataques de suplantación de direcciones IP en la LAN Ethernet. Con IP source guard habilitado, la dirección IP de origen del paquete enviado desde una interfaz de acceso que no es de confianza se valida con la base de datos de espionaje DHCP. Si el paquete no se puede validar, se descarta. La protección de origen IP se habilita en un dominio de VLAN o de puente.
Protección de origen IPv6: protección de origen IP para IPv6.
Limitación de MAC: protege contra la inundación de la tabla de conmutación Ethernet (también conocida como tabla de reenvío MAC o tabla de reenvío de capa 2). Puede habilitar la limitación de MAC en una interfaz.
Limitación de movimiento de MAC: rastrea el movimiento de MAC y detecta suplantación de MAC en los puertos de acceso. Esta característica se habilita en un dominio de VLAN o de puente.
Aprendizaje persistente de MAC: también conocido como MAC pegajoso. El aprendizaje persistente de MAC permite a las interfaces retener direcciones MAC aprendidas dinámicamente en los reinicios del conmutador. Esta característica se habilita en una interfaz.
ARP de proxy no restringido: el conmutador responde a todos los mensajes ARP con su propia dirección MAC. Los hosts que están conectados a las interfaces del conmutador no pueden comunicarse directamente con otros hosts. En su lugar, todas las comunicaciones entre hosts pasan por el conmutador.
ARP de proxy restringido: el conmutador no responde a una solicitud ARP si las redes físicas del origen y el destino de la solicitud ARP son las mismas. No importa si el host de destino tiene la misma dirección IP que la interfaz entrante o una dirección IP diferente (remota). Una solicitud ARP para una dirección de difusión no obtiene respuesta.
Device Security—El control de tormentas permite que el conmutador monitoree tráfico de unidifusión y difusión desconocido y descarte paquetes, o apague o deshabilite temporalmente la interfaz cuando se excede un nivel de tráfico especificado, evitando así que los paquetes proliferen y degraden la LAN. Puede habilitar el control de tormentas en interfaces de acceso o interfaces troncales.
Encryption Standards—Los estándares admitidos incluyen:
Estándar de cifrado avanzado (AES) de 128, 192 y 256 bits
Estándar de cifrado de datos (DES) de 56 bits y 3DES de 168 bits
Ver también
Descripción de cómo proteger los puertos de acceso de ataques comunes
Las funciones de seguridad de puertos pueden proteger a los conmutadores Ethernet de la serie EX y QFX10000 de Juniper Networks contra varios tipos de ataques. Los métodos de protección contra algunos ataques comunes son:
- Mitigación de ataques de desbordamiento en la tabla de conmutación Ethernet
- Mitigación de ataques no autorizados a servidores DHCP
- Protección contra ataques de suplantación de ARP (no se aplica a los conmutadores de la serie QFX10000)
- Protección contra ataques de alteración de bases de datos de espionaje DHCP (no se aplica a los conmutadores de la serie QFX10000)
- Protección contra ataques de inanición DHCP
Mitigación de ataques de desbordamiento en la tabla de conmutación Ethernet
En un ataque de desbordamiento en la tabla de conmutación Ethernet, un intruso envía tantas solicitudes desde nuevas direcciones MAC que la tabla no puede aprender todas las direcciones. Cuando el conmutador ya no puede usar la información de la tabla para reenviar tráfico, se ve obligado a difundir mensajes. El flujo de tráfico en el conmutador se interrumpe y los paquetes se envían a todos los hosts de la red. Además de sobrecargar la red con tráfico, el atacante también podría olfatear ese tráfico de difusión.
Para mitigar estos ataques, configure un límite de MAC para las direcciones MAC aprendidas y algunas direcciones MAC específicas permitidas. Utilice la función de limitación de MAC para controlar el número total de direcciones MAC que se pueden agregar a la tabla de conmutación Ethernet para la interfaz o interfaces especificadas. Al establecer las direcciones MAC explícitamente permitidas, se asegura de que se garantice que las direcciones de los dispositivos de red cuyo acceso a la red es crítico se incluirán en la tabla de conmutación Ethernet. Consulte Ejemplo: Protección contra ataques de desbordamiento de tabla de conmutación Ethernet.
También puede configurar las direcciones MAC aprendidas para que persistan en cada interfaz. Utilizado en combinación con un límite de MAC configurado, este aprendizaje persistente de MAC ayuda a evitar la pérdida de tráfico después de un reinicio o un evento de interrupción de la interfaz y también aumenta la seguridad del puerto al limitar las direcciones MAC permitidas en la interfaz.
Mitigación de ataques no autorizados a servidores DHCP
Si un atacante configura un servidor DHCP no autorizado para suplantar a un servidor DHCP legítimo en la LAN, el servidor no autorizado puede empezar a otorgar concesiones a los clientes DHCP de la red. La información proporcionada a los clientes por este servidor no autorizado puede interrumpir su acceso a la red, provocando DoS. El servidor no autorizado también puede asignarse a sí mismo como el dispositivo de puerta de enlace predeterminado para la red. Luego, el atacante puede olfatear el tráfico de red y perpetrar un ataque de intermediario, es decir, desvía el tráfico destinado a un dispositivo de red legítimo a un dispositivo de su elección.
Para mitigar un ataque de servidor DHCP no autorizado, establezca la interfaz a la que está conectado ese servidor no autorizado como no confiable. Esa acción bloqueará todos los mensajes del servidor DHCP de entrada desde esa interfaz. Consulte Ejemplo: Protección contra ataques no autorizados al servidor DHCP.
El conmutador registra todos los paquetes del servidor DHCP que se reciben en puertos que no son de confianza, por ejemplo:
5 DHCPOFFER no confiable recibido, interfaz ge-0/0/0.0[65], VLAN v1[10] ip del servidor/mac 12.12.12.1/00:00:00:00:01:12 oferta ip/cliente mac 12.12.12.253/00:AA:BB:CC:DD:01
Puede utilizar estos mensajes para detectar servidores DHCP malintencionados en la red.
En el caso de los conmutadores de la serie QFX, incluidos los QFX10000, si conecta un servidor DHCP a un puerto de acceso, debe configurar el puerto como de confianza.
Protección contra ataques de suplantación de ARP (no se aplica a los conmutadores de la serie QFX10000)
En la suplantación de ARP, un atacante envía mensajes ARP falsos a la red. El atacante asocia su propia dirección MAC con la dirección IP de un dispositivo de red conectado al conmutador. Cualquier tráfico enviado a esa dirección IP se envía al atacante. Ahora el atacante puede crear varios tipos de travesuras, incluyendo olfatear los paquetes que estaban destinados a otro host y perpetrar ataques de hombre en el medio. (En un ataque man-in-the-middle, el atacante intercepta mensajes entre dos hosts, los lee y tal vez los altera, todo sin que los hosts originales sepan que sus comunicaciones han sido comprometidas.)
Para protegerse contra la suplantación de ARP en el conmutador, habilite tanto la supervisión de DHCP como la inspección ARP dinámica (DAI). La supervisión de DHCP crea y mantiene la tabla de espionaje de DHCP. Esa tabla contiene las direcciones MAC, las direcciones IP, los tiempos de concesión, los tipos de enlace, la información de VLAN y la información de interfaz de las interfaces que no son de confianza en el conmutador. DAI utiliza la información de la tabla de espionaje DHCP para validar los paquetes ARP. Los paquetes ARP no válidos se bloquean y, cuando se bloquean, se registra un mensaje de registro del sistema que incluye el tipo de paquete ARP y la dirección IP y la dirección MAC del remitente.
Consulte Ejemplo: Protección contra ataques de suplantación de ARP.
Protección contra ataques de alteración de bases de datos de espionaje DHCP (no se aplica a los conmutadores de la serie QFX10000)
En un ataque diseñado para alterar la base de datos de espionaje DHCP, un intruso introduce un cliente DHCP en una de las interfaces de acceso que no son de confianza del conmutador que tiene una dirección MAC idéntica a la de un cliente en otro puerto que no es de confianza. El intruso adquiere la concesión DHCP, que da lugar a cambios en las entradas de la tabla de espionaje DHCP. Posteriormente, se bloquean lo que habrían sido solicitudes ARP válidas del cliente legítimo.
Para protegerse contra este tipo de alteración de la base de datos de espionaje DHCP, configure las direcciones MAC que estén explícitamente permitidas en la interfaz. Consulte Ejemplo: Protección contra ataques de base de datos DHCP Snooping.
Protección contra ataques de inanición DHCP
En un ataque de inanición de DHCP, un atacante inunda una LAN Ethernet con solicitudes DHCP de direcciones MAC falsificadas (falsificadas) para que los servidores DHCP de confianza del conmutador no puedan seguir el ritmo de las solicitudes de clientes DHCP legítimos en el conmutador. El espacio de direcciones de esos servidores está completamente agotado, por lo que ya no pueden asignar direcciones IP y tiempos de concesión a los clientes. Las solicitudes DHCP de esos clientes se descartan (es decir, el resultado es una denegación de servicio (DoS)) o se dirigen a un servidor DHCP no autorizado configurado por el atacante para suplantar un servidor DHCP legítimo en la LAN.
Para proteger el conmutador de ataques de inanición de DHCP, utilice la función de limitación de MAC. Especifique el número máximo de direcciones MAC que el conmutador puede aprender en las interfaces de acceso a las que se conectan esos clientes. El servidor o servidores DHCP del conmutador podrán entonces suministrar el número especificado de direcciones IP y concesiones a esos clientes y nada más. Si se produce un ataque de inanición de DHCP después de que se haya asignado el número máximo de direcciones IP, el ataque fallará. Consulte Ejemplo: Protección contra ataques de inanición de DHCP.
Para obtener protección adicional en los conmutadores de la serie EX, puede configurar las direcciones MAC aprendidas en cada interfaz para que persistan durante los reinicios del conmutador habilitando el aprendizaje persistente de MAC. Este aprendizaje persistente de MAC ayuda a evitar la pérdida de tráfico después de un reinicio y garantiza que, incluso después de un reinicio o un evento de interrupción de la interfaz, las direcciones MAC persistentes se vuelvan a ingresar en la base de datos de reenvío en lugar de que el conmutador aprenda nuevas direcciones MAC.
Ver también
Configuración de la seguridad de puertos (ELS)
Las funciones descritas son compatibles con los conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Configuración de seguridad de puertos (no ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Las LAN Ethernet son vulnerables a ataques como la suplantación de direcciones y la denegación de servicio (DoS) de capa 2 en dispositivos de red. Las funciones de seguridad del puerto DHCP ayudan a proteger los puertos de acceso del conmutador contra las pérdidas de información y productividad que pueden resultar de tales ataques.
DHCPv4 admite las siguientes características de seguridad de puerto:
Espionaje DHCP
Inspección ARP dinámica (DAI)
Protección de origen IP
Opción 82 de DHCP
DHCPv6 admite las siguientes características de seguridad de puerto:
Espionaje DHCPv6
Inspección de descubrimiento de vecinos IPv6
Protección de origen IPv6
DHCPv6 opción 37, opción 18 y opción 16
La supervisión de DHCP y la supervisión de DHCPv6 están deshabilitadas de forma predeterminada en cualquier VLAN. No se usa ninguna configuración CLI explícita para habilitar la supervisión de DHCP o la supervisión de DHCPv6. Cuando configura cualquiera de las características de seguridad de puerto para una VLAN en el nivel jerárquico, la supervisión de DHCP y la [edit vlans vlan-name forwarding-options dhcp-security] supervisión de DHCPv6 se habilitan automáticamente en esa VLAN.
A partir de Junos OS versión 14.1X53-D47 y 15.1R6, puede habilitar la supervisión de DHCP o DHCPv6 en una VLAN sin configurar otras funciones de seguridad de puertos configurando la instrucción CLI en el nivel de dhcp-security jerarquía [edit vlans vlan-name forwarding-options].
DAI, inspección de descubrimiento de vecino IPv6, protección de origen IP, protección de origen IPv6, opción 82 de DHCP y opciones DHCPv6 están configuradas por VLAN. Debe configurar una VLAN antes de configurar estas funciones de seguridad del puerto DHCP. Consulte Configuración de VLAN para conmutadores de la serie EX compatibles con ELS (procedimiento de CLI).
Las características de seguridad del puerto DHCP que especifique para la VLAN se aplican a todas las interfaces incluidas en esa VLAN. Sin embargo, puede asignar atributos diferentes a una interfaz de acceso o a un grupo de interfaces de acceso dentro de la VLAN. La interfaz o interfaces de acceso deben configurarse primero como un grupo mediante la group instrucción en el nivel jerárquico [edit vlans vlan-name forwarding-options dhcp-security] . Un grupo debe tener al menos una interfaz.
La configuración de un grupo de interfaces de acceso en una VLAN en el nivel de jerarquía habilita automáticamente la supervisión de DHCP para todas las interfaces de la [edit vlans vlan-name forwarding-options dhcp-security] VLAN.
Los atributos que se pueden especificar para las interfaces de acceso mediante la group instrucción son:
Especificar que la interfaz tenga una dirección IP-MAC estática (
static-ip or static-ipv6)Especificación de una interfaz de acceso para que actúe como interfaz de confianza para un servidor DHCP (
trusted)Especificación de una interfaz para no transmitir la opción 82 () o las opciones DHCPv6 () de DHCP (
no-option82no-option37)
De forma predeterminada, las interfaces troncales son de confianza. Sin embargo, puede invalidar este comportamiento predeterminado y establecer una interfaz troncal como untrusted.
Para obtener más información, consulte:
Puede anular la configuración general de seguridad del puerto para la VLAN configurando un grupo de interfaces de acceso dentro de esa VLAN. Para obtener más información, consulte:
Ver también
Configuración de la seguridad de puertos (no ELS)
Las LAN Ethernet son vulnerables a ataques como la suplantación de direcciones y la denegación de servicio (DoS) de capa 2 en dispositivos de red. Las funciones de seguridad de puertos, como la supervisión de DHCP, la DAI (inspección dinámica de ARP), la limitación de MAC, la limitación de movimiento de MAC y el aprendizaje persistente de MAC, así como el servidor DHCP de confianza, ayudan a proteger los puertos de acceso en el conmutador contra la pérdida de información y productividad que tales ataques pueden causar.
Dependiendo de la característica en particular, puede configurar la función de seguridad de puerto en:
VLAN: una VLAN específica o todas las VLAN
Interfaces: una interfaz específica o todas las interfaces
Si configura una de las funciones de seguridad de puerto en todas las VLAN o en todas las interfaces, el software del conmutador habilita esa función de seguridad de puerto en todas las VLAN y en todas las interfaces que no estén configuradas explícitamente con otras funciones de seguridad de puertos.
Sin embargo, si configura explícitamente una de las funciones de seguridad de puerto en una VLAN específica o en una interfaz específica, debe configurar explícitamente las características de seguridad de puerto adicionales que desee aplicar a esa VLAN o interfaz. De lo contrario, el software del conmutador aplica automáticamente los valores predeterminados de la función.
Por ejemplo, si deshabilita la supervisión de DHCP en todas las VLAN y decide habilitar explícitamente la protección de origen IP solo en una VLAN específica, también debe habilitar explícitamente la supervisión de DHCP en esa VLAN específica. De lo contrario, el valor predeterminado de No snooping DHCP se aplica a esa VLAN.
Para configurar las características de seguridad de puertos mediante la CLI:
- Habilitación de la supervisión de DHCP
- Habilitación de la inspección ARP dinámica (DAI)
- Habilitación de la inspección de detección de vecinos IPv6
- Limitar direcciones MAC dinámicas en una interfaz
- Habilitación del aprendizaje persistente de MAC en una interfaz
- Limitación del movimiento de direcciones MAC
- Restringir una dirección MAC de cliente VoIP en una VLAN VoIP
- Configuración de servidores DHCP de confianza en una interfaz
Habilitación de la supervisión de DHCP
Puede configurar la supervisión de DHCP para permitir que el dispositivo supervise los mensajes DHCP recibidos, asegurarse de que los hosts utilicen solo las direcciones IP que tienen asignadas y permitir el acceso solo a los servidores DHCP autorizados.
Para habilitar la supervisión de DHCP:
En una VLAN específica:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
En todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
Para habilitar el espionaje DHCPv6:
En una VLAN específica:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
En todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
Habilitación de la inspección ARP dinámica (DAI)
Puede habilitar DAI para proteger contra el espionaje ARP. Para habilitar DAI:
En una sola VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
En todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
Habilitación de la inspección de detección de vecinos IPv6
Puede habilitar la inspección de detección de vecinos para protegerse contra la suplantación de direcciones IPv6.
Para habilitar la detección de vecinos en una sola VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
Para habilitar el descubrimiento de vecinos en todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
Limitar direcciones MAC dinámicas en una interfaz
Limite el número de direcciones MAC dinámicas permitidas en una interfaz y especifique la acción que se debe realizar si se supera el límite:
En una sola interfaz:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
En todas las interfaces:
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
Habilitación del aprendizaje persistente de MAC en una interfaz
Puede configurar las direcciones MAC aprendidas para que persistan en una interfaz durante los reinicios del conmutador:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
Limitación del movimiento de direcciones MAC
Puede limitar el número de veces que una dirección MAC puede moverse desde su interfaz original en 1 segundo:
En una sola VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
En todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
Restringir una dirección MAC de cliente VoIP en una VLAN VoIP
Para restringir el aprendizaje de la dirección MAC de un cliente VoIP en una VLAN VoIP configurada:
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
Cualquier dirección MAC aprendida en esa interfaz para la VLAN VoIP no se aprende en una VLAN de datos con esa misma interfaz. Si se aprendió una dirección MAC en una interfaz VLAN de datos y, a continuación, la dirección MAC se aprendió en una VLAN VoIP con esa misma interfaz, la dirección MAC se elimina de la interfaz VLAN de datos.
Configuración de servidores DHCP de confianza en una interfaz
Configure un servidor DHCP de confianza en una interfaz:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
Ejemplo: configuración de seguridad de puertos (no ELS)
Puede configurar la supervisión de DHCP, la inspección dinámica de ARP (DAI), la limitación de MAC, el aprendizaje persistente de MAC y la limitación de movimiento de MAC en los puertos que no son de confianza de los conmutadores para proteger los conmutadores y la LAN Ethernet contra la suplantación de direcciones y los ataques de denegación de servicio (DoS) de capa 2. También puede configurar un servidor DHCP de confianza y direcciones MAC específicas (permitidas) para las interfaces del conmutador.
Los modificadores usados en este ejemplo no admiten el estilo de configuración ELS. Para obtener información sobre cómo configurar la seguridad de puertos en conmutadores ELS, consulte Configuración de seguridad de puertos (ELS).
En este ejemplo se describe cómo configurar las funciones básicas de seguridad de puertos en un conmutador:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Una serie EX o QFX.
Junos OS versión 11.4 o posterior para conmutadores de la serie EX o Junos OS versión 12.1 o posterior para la serie QFX
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el conmutador
Antes de configurar las funciones básicas de seguridad de puertos, asegúrese de contar con:
Conectó el servidor DHCP al conmutador.
Configuró una VLAN en el conmutador. Vea la tarea para su plataforma:
En este ejemplo, el servidor DHCP y sus clientes son todos miembros de una única VLAN en el conmutador.
Descripción general y topología
Las LAN Ethernet son vulnerables a la suplantación de identidad y a los ataques DoS en los dispositivos de red. Para proteger los dispositivos de tales ataques, puede configurar:
Espionaje DHCP para validar los mensajes del servidor DHCP
DAI para protegerse contra la suplantación de MAC
Limitación de MAC para restringir el número de direcciones MAC que el conmutador agrega a su caché de direcciones MAC
Limitación de movimiento de MAC para ayudar a prevenir la suplantación de MAC
Aprendizaje persistente de MAC (MAC adhesiva) para restringir las direcciones MAC que se pueden aprender en una interfaz a las primeras aprendidas, incluso después de reiniciar el conmutador
Servidor DHCP de confianza configurado en un puerto de confianza para protegerse contra servidores DHCP no autorizados que envían concesiones
En este ejemplo se muestra cómo configurar estas características de seguridad en un conmutador conectado a un servidor DHCP.
La configuración de este ejemplo incluye la VLAN employee-vlan en el conmutador. La figura 1 ilustra la topología de este ejemplo.
Topología
básica de puertos
Los componentes de la topología de este ejemplo se muestran en la tabla 1.
| Configuración de propiedades | |
|---|---|
Hardware del conmutador |
Un conmutador serie EX o QFX |
Nombre e ID de VLAN |
empleado-VLAN, etiqueta 20 |
Subredes VLAN |
192.0.2.16/28 192.0.2.17 a 192.0.2.30 192.0.2.31 es la dirección de difusión de la subred |
Interfaces en employee-vlan |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interfaz para el servidor DHCP |
ge-0/0/8 |
En este ejemplo, el conmutador se configura inicialmente con la configuración predeterminada de seguridad de puerto. En la configuración predeterminada del conmutador:
El acceso seguro a puertos se activa en el conmutador.
La supervisión de DHCP y DAI están deshabilitadas en todas las VLAN.
Todos los puertos de acceso no son de confianza y todos los puertos troncales son de confianza para la supervisión de DHCP.
En las tareas de configuración de este ejemplo, establezca el servidor DHCP como de confianza; habilitar la limitación de movimientos de MAC y DAI en una VLAN; se establece un valor para un límite de MAC en algunas interfaces; configurar algunas direcciones MAC específicas (permitidas) en una interfaz; y configurar el aprendizaje MAC persistente en una interfaz.
Configuración
Para configurar la seguridad básica de puertos en un conmutador cuyos puertos de servidor y cliente DHCP se encuentran en una sola VLAN:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la seguridad básica de puertos en el conmutador, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
Procedimiento paso a paso
Configure la seguridad básica de puertos en el conmutador:
Habilite la supervisión de DHCP en la VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
Especifique la interfaz (puerto) desde la que se permiten las respuestas DHCP:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
Habilite la inspección ARP dinámica (DAI) en la VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Configure un límite de MAC de 4 y use la acción predeterminada, soltar. (Los paquetes se descartan y la dirección MAC no se agrega a la tabla de conmutación Ethernet si se supera el límite MAC en las interfaces):
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
Permita que las direcciones MAC aprendidas para una interfaz en particular persistan durante los reinicios del conmutador y los eventos de interfaz inactiva habilitando el aprendizaje persistente de MAC:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
Configure un límite de movimiento de MAC de 5 y use la acción predeterminada, soltar. (Los paquetes se descartan y la dirección MAC no se agrega a la tabla de conmutación Ethernet si una dirección MAC ha superado el límite de movimiento MAC):
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
Configure las direcciones MAC permitidas:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Resultados
Compruebe los resultados de la configuración:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
Verificación
Para confirmar que la configuración funciona correctamente:
- Comprobación de que la supervisión de DHCP funciona correctamente en el conmutador
- Comprobación de que DAI funciona correctamente en el conmutador
- Verificar que la limitación de MAC, la limitación de movimiento de MAC y el aprendizaje persistente de MAC funcionen correctamente en el conmutador
- Verificar que las direcciones MAC permitidas funcionen correctamente en el conmutador
Comprobación de que la supervisión de DHCP funciona correctamente en el conmutador
Propósito
Compruebe que la supervisión de DHCP funciona en el conmutador.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.
Muestre la información de espionaje DHCP cuando la interfaz en la que el servidor DHCP se conecta al conmutador sea de confianza. El siguiente resultado se produce cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IP y las concesiones:
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
Significado
Cuando la interfaz en la que el servidor DHCP se conecta al conmutador se ha establecido en de confianza, el resultado (consulte el ejemplo anterior) muestra, para cada dirección MAC, la dirección IP asignada y el tiempo de concesión, es decir, el tiempo, en segundos, restante antes de que expire la concesión.
Si el servidor DHCP se hubiera configurado como no confiable, no se agregaría ninguna entrada a la base de datos de espionaje DHCP y no se mostraría nada en la salida del show dhcp snooping binding comando.
Comprobación de que DAI funciona correctamente en el conmutador
Propósito
Compruebe que DAI funciona en el conmutador.
Acción
Envíe algunas solicitudes ARP desde dispositivos de red conectados al conmutador.
Mostrar la información de DAI:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
El resultado de ejemplo muestra el número de paquetes ARP recibidos e inspeccionados por interfaz, con una lista de cuántos paquetes pasaron y cuántos no pasaron la inspección en cada interfaz. El conmutador compara las solicitudes y respuestas ARP con las entradas de la base de datos de espionaje DHCP. Si una dirección MAC o IP en el paquete ARP no coincide con una entrada válida en la base de datos, el paquete se descarta.
Verificar que la limitación de MAC, la limitación de movimiento de MAC y el aprendizaje persistente de MAC funcionen correctamente en el conmutador
Propósito
Verifique que la limitación de MAC, la limitación de movimiento de MAC y el aprendizaje persistente de MAC estén funcionando en el conmutador.
Acción
Supongamos que se han enviado dos paquetes desde hosts en ge-0/0/1 y cinco paquetes desde hosts en ge-0/0/2, con ambas interfaces establecidas en un límite de MAC de 4 con la caída de acción predeterminada y ge-0/0/1 habilitado para el aprendizaje persistente de MAC.
Mostrar las direcciones MAC aprendidas:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Ahora supongamos que se han enviado paquetes desde dos de los hosts en ge-0/0/2 después de que se hayan movido a otras interfaces más de cinco veces en 1 segundo, con employee-vlan establecido en un límite de movimiento de MAC de 5 con la caída de acción predeterminada.
Mostrar las direcciones MAC en la tabla:
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
La primera salida de ejemplo muestra que con un límite MAC de 4 para cada interfaz, la quinta dirección MAC en ge-0/0/2 no se aprendió porque excedió el límite MAC. La segunda salida de ejemplo muestra que las direcciones MAC para tres de los hosts en ge-/0/ 0/2 no se aprendieron, porque los hosts se habían movido hacia atrás más de cinco veces en 1 segundo.
La interfaz ge-0/0/1.0 se habilitó para el aprendizaje persistente de MAC, por lo que las direcciones MAC asociadas con esta interfaz son del tipo persistente.
Verificar que las direcciones MAC permitidas funcionen correctamente en el conmutador
Propósito
Verifique que las direcciones MAC permitidas funcionen en el conmutador.
Acción
Muestre la información de caché MAC después de configurar cinco direcciones MAC permitidas en la interfaz ge-0/0/2:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
Dado que el valor límite MAC para esta interfaz se ha establecido en 4, solo se aprenden cuatro de las cinco direcciones permitidas configuradas.