Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Entendendo o IP Source Guard para segurança de portas em switches

Os switches LAN Ethernet são vulneráveis a ataques que envolvem spoofing (forjação) de endereços IP de origem ou endereços MAC de origem. Você pode usar o recurso de segurança de porta de acesso de proteção de origem IP para mitigar os efeitos desses ataques.

Spoofing de endereço IP

Hosts em interfaces de acesso podem falsificar endereços IP de origem e endereços MAC de origem inundando o switch com pacotes contendo endereços inválidos. Tais ataques combinados com outras técnicas, como ataques de inundação TCP SYN, podem causar ataques de negação de serviço (DoS). Com o endereço IP de origem ou spoofing de endereço MAC de origem, o administrador do sistema não pode identificar a fonte do ataque. O invasor pode falsificar endereços na mesma sub-rede ou em uma sub-rede diferente.

Como funciona o IP Source Guard

O guarda de origem IP examina cada pacote enviado de um host anexado a uma interface de acesso não confiável no switch. O endereço IP, endereço MAC, VLAN e interface associados ao host são verificados em entradas armazenadas no banco de dados de espionagem DHCP. Se o cabeçalho do pacote não corresponder a uma entrada válida no banco de dados de espionagem DHCP, o switch não encaminha o pacote — ou seja, o pacote é descartado.

Nota:

  • Se o seu switch usar o Junos OS para a Série EX com suporte para o estilo de configuração do software de camada 2 (ELS), a espionagem DHCP é habilitada automaticamente quando você ativa o proteção de origem IP em um VLAN. Veja configuração do IP Source Guard (ELS).

  • Se o seu switch usa o Junos OS para a Série EX sem suporte ao estilo de configuração de Software de Camada 2 (ELS) aprimorado e você habilitar o proteção de origem IP em uma VLAN, você também deve habilitar explicitamente o DHCP bisbilhotando essa VLAN. Caso contrário, o valor padrão de nenhuma espionagem DHCP se aplica à VLAN. Veja configuração do ip source guard (não-ELS).

O ip source guard examina pacotes enviados de interfaces de acesso não confiáveis nessas VLANs. Por padrão, as interfaces de acesso são não confiáveis e as interfaces de tronco são confiáveis. O proteção de origem IP não examina pacotes que foram enviados ao switch por dispositivos conectados a interfaces confiáveis para que um servidor DHCP possa ser conectado a essa interface para fornecer endereços IP dinâmicos.

Nota:

Em um switch EX9200, você pode definir uma interface de tronco para untrusted que ela ofereça suporte a proteção de origem IP.

Guarda-fonte IPv6

O guarda-fonte IPv6 está disponível em switches que oferecem suporte a espionagem DHCPv6. Para determinar se o seu switch oferece suporte a snooping DHCPv6, consulte o Feature Explorer.

A tabela de espionagem do DHCP

O proteção de origem IP obtém informações sobre endereço IP para vinculações de endereço MAC (vinculação IP-MAC) da tabela de espionagem DHCP, também conhecida como tabela de vinculação DHCP. A tabela de espionagem DHCP é povoada por meio de espionagem dinâmica de DHCP ou através da configuração de endereço IP estático específico para vinculações de endereço MAC. Para obter mais informações sobre a tabela de espionagem DHCP, consulte Understanding DHCP Snooping (ELS).

Para exibir a tabela de espionagem DHCP, emita o comando de modo operacional que aparece no CLI do switch.

Para bisbilhotar DHCP:

Para espionagem DHCPv6:

Usos típicos de outros recursos do Junos OS com o IP Source Guard

Você pode configurar o proteção de origem IP com vários outros recursos de segurança de porta, incluindo:

  • Tags VLAN (usadas para VLANs de voz)

  • GRES (comutação graciosa do mecanismo de roteamento)

  • Configurações do Virtual Chassis

  • Grupos de agregação de enlaces (LAGs)

  • Autenticação de usuário 802.1X em um único suplicante, suplicante de segurança única ou modo de suplicante múltiplo.

    Nota:

    Ao implementar a autenticação do usuário 801.X no modo suplicante de segurança única ou múltiplos suplicantes, use as seguintes diretrizes de configuração:

    • Se a interface 802.1X faz parte de uma VLAN baseada em MAC não registrada e você quiser habilitar o proteção de origem IP e o DHCP bisbilhotando esse VLAN, você deve habilitar o proteção de origem IP e o DHCP bisbilhotando todas as VLANs dinâmicas nas quais a interface não tem associação. Isso também se aplica ao guarda-fonte IPv6 e à espionagem DHCPv6.

    • Se a interface 802.1X faz parte de um VLAN baseado em MAC com tags e você quiser habilitar o proteção de origem IP e o DHCP bisbilhotando esse VLAN, você deve habilitar o proteção de origem IP e o DHCP bisbilhotando todas as VLANs dinâmicas em que a interface tem associação marcada. Isso também se aplica ao guarda-fonte IPv6 e à espionagem DHCPv6.

Documentação relacionada