НА ЭТОЙ СТРАНИЦЕ
Пример: защита от атак серверов DHCP изгоев
В результате изгоев сервера DHCP злоумышленник внедрил в сеть сервер-изгой, что позволило ему предоставить клиенту DHCP-адреса в сети аренду и присвоить себя как устройство шлюза.
В этом примере описывается, как настроить серверный интерфейс DHCP как ненадежный для защиты коммутатора от изгоев сервера DHCP:
Требования
В этом примере используются следующие компоненты аппаратного и программного обеспечения:
Один коммутатор серии EX или один коммутатор QFX3500
Ос Junos версии 9.0 или более поздней версии для коммутаторов серии EX или ОС Junos версии 12.1 или более поздней версии для серии QFX
Сервер DHCP для предоставления IP-адресов сетевым устройствам на коммутаторе
Прежде чем настроить ненадежный интерфейс сервера DHCP для предотвращения разбойных атак серверов DHCP, убедитесь, что у вас есть:
Подключите сервер DHCP к коммутатору.
Включенная DHCP, шпионящая за VLAN.
Настройка VLAN на коммутаторе. Узнайте о задаче вашей платформы:
Обзор и топология
Сети Ethernet LAN уязвимы для борьбы с спуфингом и атаками DoS на сетевые устройства. В этом примере описывается, как защитить коммутатор от разбойных атак серверов DHCP.
На этом примере показаны способы явной настройки ненадежного интерфейса на коммутаторе EX3200-24P и коммутаторе QFX3500. На рисунке 1 показана топология этого примера.
Топологии
Компоненты топологии для этого примера показаны в Таблице 1.
| Настройки | свойств |
|---|---|
Аппаратное обеспечение коммутатора |
Один коммутатор EX3200-24P, 24 порта (8 портов PoE) или один коммутатор QFX3500 |
Имя и Идентная сеть VLAN |
влан для сотрудников, тег 20 |
Подсети VLAN |
192.0.2.16/28 192.0.2.17 до 192.0.2.30192.0.2.31 является адресом вещания подсети |
Интерфейсы в сети vlan для сотрудников |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Интерфейс для сервера DHCP |
ge-0/0/8 |
В этом примере коммутатор уже настроен следующим образом:
На коммутаторе активируется безопасный доступ к порту.
DHCP-коммодирование включено в VLAN для сотрудников-vlan.
Интерфейс (порт), в котором к коммутатору подключен изгоев сервер DHCP, в настоящее время доверяется.
Конфигурации
Чтобы настроить серверный интерфейс DHCP как ненадежный, поскольку интерфейс используется изгоев сервера DHCP:
Процедуры
Быстрая настройка командной строки
Чтобы быстро установить ненадежный серверный интерфейс DHCP, скопируйте следующую команду и вставить его в окно терминала коммутатора:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
Пошаговая процедура
Установить серверный интерфейс DHCP как ненадежный:
Укажите интерфейс (порт), из которого не разрешены ответы DHCP:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
Результаты
Проверить результаты конфигурации:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
Проверки
Подтвердите, что конфигурация работает правильно.
Проверка недоверенного интерфейса сервера DHCP
Цель
Убедитесь, что сервер DHCP ненадежный.
Действий
Отправьте некоторые запросы DHCP от сетевых устройств (здесь они являются клиентами DHCP), подключенными к коммутатору.
Отобразите информацию о отслеживании DHCP, когда порту, на котором сервер DHCP подключается к коммутатору, не доверяется.
Смысл
Выходной вывод от команды отсутствует, так как в базу данных DHCP не добавлены записи.