Exemplo: Configuração da limitação do MAC
Exemplo: Proteção contra ataques de desavencimento dhcp
Em um ataque DE DHCP, um invasor inunda uma LAN Ethernet com solicitações DHCP de endereços MAC falsificados (falsificados), fazendo com que o servidor DHCP sobrecarregado do switch pare de atribuir endereços IP e tempos de locação a clientes DHCP legítimos no switch (daí o nome do recurso). As solicitações desses clientes são descartadas ou direcionadas a um servidor DHCP desonesto configurado pelo invasor.
Este exemplo descreve como configurar o limitamento MAC, um recurso de segurança de porta, para proteger o switch contra ataques de DHCP:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX ou QFX3500
Junos OS Versão 9.0 ou posterior para switches da Série EX, ou Junos OS Versão 12.1 ou posterior para o switch da Série QFX
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Antes de configurar a limitação do MAC, um recurso de segurança de porta, para mitigar os ataques de DHCP, certifique-se de ter:
Conectou o servidor DHCP ao switch.
Configurou o VLAN employee-vlan no switch.
Visão geral e topologia
As LANs Ethernet são vulneráveis a ataques de spoofing e DoS em dispositivos de rede. Este exemplo descreve como proteger o switch contra um tipo comum de ataque, um ataque de desavencimento de DHCP.
Este exemplo mostra como configurar recursos de segurança de porta em um switch conectado a um servidor DHCP. A configuração para este exemplo inclui o VLAN employee-vlan no switch. O procedimento para criar essa VLAN em um switch da Série EX é descrito no tópico, Exemplo: configuração de pontes com várias VLANs para switches da Série EX. O procedimento não se repete aqui.
A Figura 1 ilustra a topologia para este exemplo.
Topologia
básica de portas
Os componentes da topologia para este exemplo são mostrados na Tabela 1.
| Configurações de propriedades | |
|---|---|
Hardware do switch |
switch QFX3500 |
Nome e ID da VLAN |
funcionário vlan |
Interfaces em funcionários-vlan |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Interface para servidor DHCP |
ge-0/0/8 |
Neste exemplo, o switch já foi configurado da seguinte forma:
O acesso seguro de porta é ativado no switch.
Nenhum limite MAC é definido em nenhuma das interfaces.
A espionagem dhcp é desabilitada no VLAN employee-vlan.
Todas as interfaces de acesso não são confiáveis, que é a configuração padrão.
Configuração
Para configurar o recurso de segurança de porta que limita o MAC para proteger o switch contra ataques de dhCP:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a limitação do MAC, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 3 action drop set interface ge-0/0/2 mac-limit 3 action drop
Procedimento passo a passo
Configure a limitação do MAC:
Configure um limite MAC de 3 no ge-0/0/1 e especifique que os pacotes com novos endereços serão descartados se o limite tiver sido excedido na interface:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge–0/0/1mac-limit 3 action drop
Configure um limite MAC de 3 no ge-0/0/2 e especifique que os pacotes com novos endereços serão descartados se o limite tiver sido excedido na interface:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 mac-limit 3 action drop
Resultados
Confira os resultados da configuração:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 3 action drop;
}
interface ge-0/0/2.0 {
mac-limit 3 action drop;
}
Verificação
Para confirmar que a configuração está funcionando corretamente:
Verificar se a limitação do MAC está funcionando corretamente no switch
Propósito
Verifique se a limitação do MAC está funcionando no switch.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.
Exibir os endereços MAC aprendidos quando as solicitações de DHCP são enviadas dos hosts no ge-0/0/1 e dos hosts no ge-0/0/2, com ambas as interfaces definidas para um limite MAC de 3 com a queda de ação:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces default * Flood - ge-0/0/2.0 default 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Significado
A saída de amostra mostra que, com um limite MAC de 3 para cada interface, a solicitação de DHCP para um quarto endereço MAC no ge-0/0/2 foi descartada porque excedeu o limite MAC.
Como apenas 3 endereços MAC podem ser aprendidos em cada uma das duas interfaces, as tentativas de ataques de dhcp fracassarão.
Exemplo: Proteção contra ataques de servidores DHCP desonestos
Em um ataque de servidor DHCP desonesto, um invasor introduziu um servidor desonesto na rede, permitindo que ele dê leasings de endereço IP aos clientes DHCP da rede e atribua-se como o dispositivo de gateway.
Este exemplo descreve como configurar uma interface de servidor DHCP como não confiável para proteger o switch de um servidor DHCP desonesto:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX ou um switch QFX3500
Junos OS Versão 9.0 ou posterior para switches da Série EX ou Junos OS Versão 12.1 ou posterior para a Série QFX
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Antes de configurar uma interface de servidor DHCP não confiável para mitigar ataques de servidor DHCP desonestos, certifique-se de ter:
Conectou o servidor DHCP ao switch.
Permitiu que o DHCP bisbilhotasse a VLAN.
Configurou uma VLAN no switch. Veja a tarefa para sua plataforma:
Visão geral e topologia
As LANs Ethernet são vulneráveis a ataques de spoofing e DoS em dispositivos de rede. Este exemplo descreve como proteger o switch contra ataques de servidor DHCP desonestos.
Este exemplo mostra como configurar explicitamente uma interface não confiável em um switch EX3200-24P e em um switch QFX3500. A Figura 2 ilustra a topologia para este exemplo.
Topologia
de porta básica
Os componentes da topologia para este exemplo são mostrados na Tabela 2.
| Configurações de propriedades | |
|---|---|
Hardware do switch |
Um ex3200-24P, 24 portas (8 portas PoE) ou um switch QFX3500 |
Nome e ID da VLAN |
funcionário-vlan, tag 20 |
Sub-redes VLAN |
192.0.2.16/28 192.0.2.17 a 192.0.2.30192.0.2.31 é o endereço de transmissão da sub-rede |
Interfaces em funcionários-vlan |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Interface para servidor DHCP |
ge-0/0/8 |
Neste exemplo, o switch já foi configurado da seguinte forma:
O acesso seguro de porta é ativado no switch.
A espionagem DHCP está habilitada no VLAN employee-vlan.
A interface (porta) onde o servidor DHCP desonesto se conectou ao switch é atualmente confiável.
Configuração
Para configurar a interface de servidor DHCP como não confiável porque a interface está sendo usada por um servidor DHCP desonesto:
Procedimento
Configuração rápida da CLI
Para definir rapidamente a interface de servidor DHCP não confiável, copie o seguinte comando e cole-a na janela terminal do switch:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
Procedimento passo a passo
Definir a interface do servidor DHCP como não confiável:
Especifique a interface (porta) da qual as respostas DHCP não são permitidas:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
Resultados
Confira os resultados da configuração:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando se a interface do servidor DHCP não é confiável
Propósito
Verifique se o servidor DHCP não é confiável.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.
Exibir as informações de espionagem do DHCP quando a porta em que o servidor DHCP se conecta ao switch não é confiável.
Significado
Não há saída do comando porque nenhuma entrada é adicionada ao banco de dados de espionagem DHCP.
Exemplo: Proteção contra ataques de transbordamento da tabela de comutação Ethernet
Em um ataque de transbordamento da tabela de comutação Ethernet, um intruso envia tantas solicitações de novos endereços MAC que a mesa de comutação Ethernet preenche e depois transborda, forçando o switch a transmitir todas as mensagens.
Este exemplo descreve como configurar a limitação do MAC e permitiu que endereços MAC, dois recursos de segurança de porta, protegessem o switch contra ataques da tabela de comutação Ethernet:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX ou switch de QFX3500
Junos OS Versão 9.0 ou posterior para switches da Série EX ou Junos OS 12.1 ou posteriores para a Série QFX.
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Antes de configurar recursos específicos de segurança de porta para mitigar ataques comuns de interface de acesso, certifique-se de ter:
Conectou o servidor DHCP ao switch.
Configurou uma VLAN no switch. Veja a tarefa para sua plataforma:
Visão geral e topologia
As LANs Ethernet são vulneráveis a ataques de spoofing e DoS em dispositivos de rede. Este exemplo descreve como proteger o switch de um ataque na tabela de comutação da Ethernet que faz com que a tabela transborde e, assim, força o switch a transmitir todas as mensagens.
Este exemplo mostra como configurar recursos de segurança de porta em um switch conectado a um servidor DHCP.
A configuração para este exemplo inclui o VLAN employee-vlan no switch. O procedimento para criar essa VLAN é descrito no tópico Exemplo: Configuração de pontes com várias VLANs para switches da Série EX e exemplo: configuração de pontes com várias VLANs para a Série QFX. Esse procedimento não se repete aqui. A Figura 3 ilustra a topologia para este exemplo.
Topologia
de porta básica
Os componentes da topologia para este exemplo são mostrados na Tabela 3.
| Configurações de propriedades | |
|---|---|
Hardware do switch |
Um switch da Série EX ou um switch QFX3500 |
Nome e ID da VLAN |
funcionário-vlan, tag 20 |
Sub-redes VLAN |
192.0.2.16/28192.0.2.17 a 192.0.2.30 192.0.2.31 é o endereço de transmissão da sub-rede |
Interfaces em funcionários-vlan |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Interface para servidor DHCP |
ge-0/0/8 |
Neste exemplo, use o recurso de limite MAC para controlar o número total de endereços MAC que podem ser adicionados à tabela de comutação Ethernet para a interface especificada. Use o recurso de endereços MAC permitidos para garantir que os endereços dos dispositivos de rede cujo acesso à rede é essencial tenham a garantia de serem incluídos na tabela de comutação da Ethernet.
Neste exemplo, o switch já foi configurado da seguinte forma:
O acesso seguro de porta é ativado no switch.
Nenhum limite MAC é definido em nenhuma das interfaces.
Todas as interfaces de acesso não são confiáveis, que é a configuração padrão.
Configuração
Para configurar a limitação do MAC e alguns endereços MAC permitidos para proteger o switch contra ataques de transbordamento da tabela de comutação Ethernet:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a limitação do MAC, limpar a tabela de encaminhamento MAC e configurar alguns endereços MAC permitidos, copiar os seguintes comandos e cole-os na janela de terminal do switch:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 action drop set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 exit exit clear ethernet-switching-table interface ge-0/0/1
Procedimento passo a passo
Configure a limitação do MAC e alguns endereços MAC permitidos:
Configure um limite MAC de 4 no ge-0/0/1 e especifique que os pacotes de entrada com endereços diferentes sejam descartados assim que o limite for excedido na interface:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit (Access Port Security) 4 action drop
Libere as entradas atuais para interface ge-0/0/1 da tabela de encaminhamento de endereços MAC :
user@switch# clear ethernet-switching-table interface ge-0/0/1
Configure os endereços MAC permitidos no ge-0/0/2:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85
Resultados
Confira os resultados da configuração:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4 action drop;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 ];
}
Verificação
Para confirmar que a configuração está funcionando corretamente:
Verificar se a limitação do MAC está funcionando corretamente no switch
Propósito
Verifique se a limitação do MAC está funcionando no switch.
Ação
Exibir as informações do cache MAC após as solicitações de DHCP terem sido enviadas dos hosts no ge-0/0/1, com a interface definida para um limite MAC de 4 com a queda de ação, e depois de quatro endereços MAC permitidos terem sido configurados na interface ge/0/0/2:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:71 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:74 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan * Flood 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
A saída de amostra mostra que, com um limite MAC de 4 para a interface, a solicitação de DHCP para um quinto endereço MAC na ge-0/1 foi descartada porque excedeu o limite MAC e que apenas os endereços MAC permitidos especificados foram aprendidos na interface ge-0/0/2 .