Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Пример: защита от атак базы данных DHCP

При одном типе атаки на базу данных DHCP злоумышленник вводит клиента DHCP на ненадежный интерфейс доступа с MAC-адресом, идентичным адресу клиента, на другом ненадежном интерфейсе. Злоумышленник затем приобретает DHCP аренды, что другой клиент, тем самым изменив записей в DHCP шпионом таблице. Затем блокируются действительные запросы ARP от законного клиента.

В этом примере описывается, как настроить разрешенные MAC-адреса, функцию безопасности портов, для защиты коммутатора от атак изменения базы данных DHCP:

Требования

В этом примере используются следующие компоненты аппаратного и программного обеспечения:

  • Один коммутатор серии EX или один коммутатор QFX3500

  • Ос Junos версии 11.4 или более поздней версии для коммутаторов серии EX или ОС Junos версии 12.1 или более поздней версии для серии QFX

  • Сервер DHCP для предоставления IP-адресов сетевым устройствам на коммутаторе

Перед настройкой конкретных функций безопасности портов для предотвращения распространенных атак со встроенным доступом убедитесь, что у вас есть:

Обзор и топология

Сети Ethernet LAN уязвимы для борьбы с спуфингом и атаками DoS на сетевые устройства. В этом примере описывается, как защитить коммутатор от атаки на базу данных DHCP, которая меняет MAC-адреса, назначенные некоторым клиентам.

На этом примере показаны способы настройки функций безопасности портов на коммутаторе, подключенном к серверу DHCP.

В этом примере настройка включает в себя vlan для сотрудников VLAN на коммутаторе. На рисунке 1 показана топология этого примера.

Топологии

Рис. 1. Топология сети для базовой безопасности портов Network Topology for Basic Port Security

Компоненты топологии для этого примера показаны в Таблице 1.

Таблица 1. Компоненты топологии безопасности портов
Настройки свойств

Аппаратное обеспечение коммутатора

Один коммутатор EX3200-24P, 24 порта (8 портов PoE) или один коммутатор QFX3500

Имя и Идентная сеть VLAN

влан для сотрудников, тег 20

Подсети VLAN

192.0.2.16/28 192.0.2.17 до 192.0.2.30192.0.2.31 является адресом вещания подсети

Интерфейсы в сети vlan для сотрудников

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

Интерфейс для сервера DHCP

ge-0/0/8

В этом примере коммутатор уже настроен следующим образом:

  • На коммутаторе активируется безопасный доступ к порту.

  • DHCP-коммодирование включено в VLAN для сотрудников-vlan.

  • Все порты доступа ненадежны, это настройка по умолчанию.

Конфигурации

Для настройки разрешенных MAC-адресов для защиты коммутатора от атак изменения базы данных DHCP:

Процедуры

Быстрая настройка командной строки

Чтобы быстро настроить некоторые разрешенные MAC-адреса на интерфейсе, скопируйте следующие команды и вставить их в окно терминала коммутатора:

Пошаговая процедура

Для настройки некоторых разрешенных MAC-адресов на интерфейсе:

Настраивайте пять разрешенных MAC-адресов на интерфейсе:

Результаты

Проверить результаты конфигурации:

Проверки

Подтвердите, что конфигурация работает правильно.

Проверка правильной работы разрешенных MAC-адресов на коммутаторе

Цель

Убедитесь, что разрешенные MAC-адреса работают на коммутаторе.

Действий

Отобразите информацию о mac-кэше:

Смысл

Выход показывает, что пять MAC-адресов, настроенных в качестве разрешенных MAC-адресов, были изучены и отображаются в кэше MAC. Последний mac-адрес в списке, который не был настроен в соответствии с разрешенным, не был добавлен в список изученных адресов.