Аналитика IP-источника для обеспечения безопасности портов на коммутаторах

Коммутаторы Ethernet LAN уязвимы для атак, связанных с спуфингом (подделкой) IP-адресов источника или MAC-адресов источника. Для устранения последствий этих атак можно использовать функцию защиты доступа к портам ip-источника.

Спуфинг IP-адресов

Хосты в интерфейсах доступа могут подменить IP-адреса источника и MAC-адреса источника, наводнили коммутатор пакетами, содержащими недействительные адреса. Такие атаки в сочетании с другими методами, такими как атаки TCP SYN, могут вызвать атаки типа «отказ в обслуживании» (DoS). При спуфинге IP-адреса источника или MAC-адреса системный администратор не может определить источник атаки. Злоумышленник может подменять адреса в одной подсети или в другой подсети.

Принципы работы охраны IP-источника

Охранник IP-источника проверяет каждый пакет, отправленный от хоста, прикрепленного к ненадежному интерфейсу доступа на коммутаторе. IP-адрес, MAC-адрес, VLAN и интерфейс, связанный с хостом, проверяются на соответствие записям, хранящимся в базе данных DHCP. Если заголовок пакетов не соответствует действующей записи в базе данных DHCP, коммутатор не переадресовывает пакет, то есть пакет отбрасывается.

Примечание:

Если ваш коммутатор использует ОС Junos для серии EX с поддержкой улучшенного стиля конфигурации программного обеспечения уровня 2 (ELS), отслеживание DHCP автоматически включено, когда вы обеспечиваете защиту ИСТОЧНИКА IP на VLAN. См. настройку охраны IP-источника (ELS).
Если ваш коммутатор использует ОС Junos для серии EX без поддержки стиля конфигурации Расширенного уровня 2 (ELS) и обеспечивает защиту ip-источника на VLAN, вы также должны прямо включить DHCP, которые шпионят за этой VLAN. В противном случае значение по умолчанию без отслеживания DHCP применяется к VLAN. См . настройку охраны IP-источника (без ELS).

Охранник IP-источника анализирует пакеты, отправленные из ненадежных интерфейсов доступа, на этих VLAN. По умолчанию интерфейсы доступа ненадежны, а магистральные интерфейсы надежны. Защита IP-источника не анализирует пакеты, которые были отправлены к коммутатору устройствами, подключенными к доверенным интерфейсам, чтобы сервер DHCP мог быть подключен к этому интерфейсу для предоставления динамических IP-адресов.

Примечание:

На коммутаторе EX9200 можно установить магистральный интерфейс так untrusted , чтобы он поддерживал защиту источника IP.

Защита источника IPv6

Защита источника IPv6 доступна на коммутаторах, поддерживающих DHCPv6. Чтобы определить, поддерживает ли ваш коммутатор DHCPv6, см. Feature Explorer.

Таблица DHCP Для шпионажа

Охрана IP-источника получает информацию об IP-адресе на обязательные для MAC-адресов (IP-MAC-привязки) из таблицы dhCP, также известной как обязательная таблица DHCP. Таблица отслеживания dhCP заполняется либо динамическим отслеживанием DHCP, либо конфигурацией конкретного статического IP-адреса для привязок к MAC-адресов. Для получения дополнительной информации о таблице dhCP,см. Обзор DHCP Снуипинг (ELS).

Чтобы показать таблицу отслеживания dhCP, выпустите команду рабочего режима, которая появляется в интерфейсе командной строки коммутатора.

Для DHCP шпионаже:

(Для коммутаторов, не связанных с ELS) show ip-source-guard
(Только коммутаторы ELS) show dhcp-security binding

Для DHCPv6 шпионаже:

(Для коммутаторов, не связанных с ELS) show dhcpv6 snooping binding
(Только коммутаторы ELS) show dhcp-security ipv6 binding

Стандартное использование других функций ОС Junos с помощью охраны IP-источника

Вы можете настроить защиту IP-источника с помощью различных других функций безопасности портов, включая:

Пометка VLAN (используется для голосовой сети VLAN)
GRES (изящный коммутатор модуля маршрутизации)
Конфигурации Virtual Chassis
Группы агрегации каналов (LAGs)
Аутентификация пользователей 802.1X в одном supplicant, одном безопасном просителе или нескольких просителях.
Примечание:
При реализации аутентификации пользователей 801.X в одном безопасном просителе или нескольких параметрах используйте следующие правила конфигурации:
- Если интерфейс 802.1X является частью неувязанной сети VLAN на основе MAC и вы хотите обеспечить защиту IP-источника и DHCP, который использует VLAN, вы должны обеспечить защиту IP-источника и отслеживание DHCP во всех динамических сетях VLAN, в которых интерфейс не привязан к членству. Это также применяется к охраннику источника IPv6 и DHCPv6, который шпионит.
- Если интерфейс 802.1X является частью помеченной MAC-сети VLAN и вы хотите обеспечить защиту IP-источника и DHCP, который следит за этой VLAN, вы должны включить защиту источника IP и DHCP, задняя на всех динамических VLAN, в которых интерфейс отметил членство. Это также применяется к охраннику источника IPv6 и DHCPv6, который шпионит.

НА ЭТОЙ СТРАНИЦЕ