НА ЭТОЙ СТРАНИЦЕ
Пример: защита от атак базы данных DHCP
При одном типе атаки на базу данных DHCP злоумышленник вводит клиента DHCP на ненадежный интерфейс доступа с MAC-адресом, идентичным адресу клиента, на другом ненадежном интерфейсе. Злоумышленник затем приобретает DHCP аренды, что другой клиент, тем самым изменив записей в DHCP шпионом таблице. Затем блокируются действительные запросы ARP от законного клиента.
В этом примере описывается, как настроить разрешенные MAC-адреса, функцию безопасности портов, для защиты коммутатора от атак изменения базы данных DHCP:
Требования
В этом примере используются следующие компоненты аппаратного и программного обеспечения:
Один коммутатор серии EX или один коммутатор QFX3500
Ос Junos версии 11.4 или более поздней версии для коммутаторов серии EX или ОС Junos версии 12.1 или более поздней версии для серии QFX
Сервер DHCP для предоставления IP-адресов сетевым устройствам на коммутаторе
Перед настройкой конкретных функций безопасности портов для предотвращения распространенных атак со встроенным доступом убедитесь, что у вас есть:
Подключите сервер DHCP к коммутатору.
Настройка VLAN на коммутаторе. Узнайте о задаче вашей платформы:
Обзор и топология
Сети Ethernet LAN уязвимы для борьбы с спуфингом и атаками DoS на сетевые устройства. В этом примере описывается, как защитить коммутатор от атаки на базу данных DHCP, которая меняет MAC-адреса, назначенные некоторым клиентам.
На этом примере показаны способы настройки функций безопасности портов на коммутаторе, подключенном к серверу DHCP.
В этом примере настройка включает в себя vlan для сотрудников VLAN на коммутаторе. На рисунке 1 показана топология этого примера.
Топологии
Компоненты топологии для этого примера показаны в Таблице 1.
| Настройки | свойств |
|---|---|
Аппаратное обеспечение коммутатора |
Один коммутатор EX3200-24P, 24 порта (8 портов PoE) или один коммутатор QFX3500 |
Имя и Идентная сеть VLAN |
влан для сотрудников, тег 20 |
Подсети VLAN |
192.0.2.16/28 192.0.2.17 до 192.0.2.30192.0.2.31 является адресом вещания подсети |
Интерфейсы в сети vlan для сотрудников |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Интерфейс для сервера DHCP |
ge-0/0/8 |
В этом примере коммутатор уже настроен следующим образом:
На коммутаторе активируется безопасный доступ к порту.
DHCP-коммодирование включено в VLAN для сотрудников-vlan.
Все порты доступа ненадежны, это настройка по умолчанию.
Конфигурации
Для настройки разрешенных MAC-адресов для защиты коммутатора от атак изменения базы данных DHCP:
Процедуры
Быстрая настройка командной строки
Чтобы быстро настроить некоторые разрешенные MAC-адреса на интерфейсе, скопируйте следующие команды и вставить их в окно терминала коммутатора:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Пошаговая процедура
Для настройки некоторых разрешенных MAC-адресов на интерфейсе:
Настраивайте пять разрешенных MAC-адресов на интерфейсе:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Результаты
Проверить результаты конфигурации:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 00:05:85:3a:82:88 ];
}
Проверки
Подтвердите, что конфигурация работает правильно.
Проверка правильной работы разрешенных MAC-адресов на коммутаторе
Цель
Убедитесь, что разрешенные MAC-адреса работают на коммутаторе.
Действий
Отобразите информацию о mac-кэше:
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Смысл
Выход показывает, что пять MAC-адресов, настроенных в качестве разрешенных MAC-адресов, были изучены и отображаются в кэше MAC. Последний mac-адрес в списке, который не был настроен в соответствии с разрешенным, не был добавлен в список изученных адресов.