Visão geral da segurança de portas
Recursos de segurança de porta
As LANs Ethernet são vulneráveis a ataques como spoofing de endereços (forja) e negação de serviço (DoS) de Camada 2 em dispositivos de rede. Os recursos de segurança de porta ajudam a proteger as portas de acesso em seu dispositivo contra a perda de informações e produtividade que esses ataques podem causar.
O Junos OS é reforçado com a separação de planos de encaminhamento de controle e serviços, com cada função funcionando em memória protegida. A CPU do plano de controle é protegida por limitação de taxa, política de roteamento e filtros de firewall para garantir o tempo de atividade do switch mesmo sob ataque severo.
O Junos OS oferece recursos para ajudar a proteger portas em um dispositivo. As portas podem ser categorizadas como confiáveis ou não confiáveis. Você aplica políticas apropriadas a cada categoria para proteger as portas contra vários tipos de ataques.
Acesso a recursos de segurança de porta, como inspeção dinâmica do Protocolo de Resolução de Endereços (ARP), snooping DHCP e limitação mac são controlados por meio de um único comando Junos OS CLI. Os recursos básicos de segurança de porta estão habilitados na configuração padrão do dispositivo. Você pode configurar recursos adicionais com etapas mínimas de configuração. Dependendo do recurso específico, você pode configurar o recurso em VLANs ou interfaces de domínio de ponte.
A partir do Junos OS Release 18.4R1, o snooping DHCP ocorre em portas confiáveis para os seguintes switches da Série Juniper, EX2300, EX4600 e QFX5K. Antes do Junos OS Release 18.4R1, para esses dispositivos, isso só era verdade para a espionagem DHCPv6. Além disso, a espionagem dhcp ocorre em portas confiáveis para switches da Série EX9200, e Fusion Enterprises, que estão executando o Junos OS Release 19.1R1 e posteriores.
Os switches de ethernet da Série EX da Juniper Networks oferecem os seguintes recursos de segurança de hardware e software:
Console Port— permite que o uso da porta do console se conecte ao mecanismo de roteamento por meio de um cabo RJ-45. Em seguida, você usa a interface de linha de comando (CLI) para configurar o switch.
Out-of-Band Management— Uma porta Ethernet de gerenciamento dedicada no painel traseiro permite o gerenciamento fora da banda.
Software Images— Todas as imagens do Junos OS são assinadas pela autoridade de certificados (CA) da Juniper Networks com infraestrutura de chave pública (PKI).
User Authentication, Authorization, and Accounting (AAA)— Os recursos incluem:
Contas de usuários e grupos com criptografia e autenticação de senhas.
Acesso a níveis de privilégio configuráveis para aulas de login e modelos de usuário.
Autenticação RADIUS, autenticação TACACS+ ou ambos, para autenticar usuários que tentam acessar o switch.
Auditoria de mudanças na configuração por meio de registro de sistema ou RADIUS/TACACS+.
802.1X Authentication— Fornece controle de acesso à rede. Os suplicantes (hosts) são autenticados quando se conectam inicialmente a uma LAN. Autenticar suplicantes antes que eles recebam um endereço IP de um servidor DHCP impede que suplicantes não autorizados obtenham acesso à LAN. Os switches da Série EX oferecem suporte a métodos de protocolo de autenticação extensível (EAP), incluindo EAP-MD5, EAP-TLS, EAP-TTLS e EAP-PEAP.
Port Security— Os recursos de segurança da porta de acesso suportados em dispositivos de comutação são::
Espionagem DHCP — Filtra e bloqueia mensagens de servidor do protocolo dinâmico de configuração de host (DHCP) em portas não confiáveis, e constrói e mantém um banco de dados de informações de leasing DHCP, que é chamado de banco de dados de espionagem DHCP.
Nota:A espionagem DHCP não está habilitada na configuração padrão do dispositivo de comutação. A espionagem DHCP está habilitada em um domínio VLAN ou bridge. Os detalhes de habilitação de espionagem DHCP dependem do dispositivo em particular.
Servidor DHCP confiável — a configuração do servidor DHCP em uma porta confiável protege contra servidores DHCP desonestos que enviam leasings. Você habilita esse recurso em uma interface (porta). Por padrão, as portas de acesso não são confiáveis e as portas de tronco são confiáveis. (As portas de acesso são as portas de switch que se conectam a endpoints Ethernet, como PCs de usuários e laptops, servidores e impressoras. Portas de tronco são as portas de switch que conectam um switch Ethernet a outros switches ou a roteadores.)
DHCPv6 snooping — DHCP snooping for IPv6.
Opção DHCP 82 — também conhecida como opção de informação do agente de retransmissão DHCP. Este recurso DHCPv4 ajuda a proteger o dispositivo de comutação contra ataques como spoofing de endereços IP e endereços MAC e endereços IP DHCP. A opção 82 fornece informações sobre a localização da rede de um cliente DHCP, e o servidor DHCP usa essas informações para implementar endereços IP ou outros parâmetros para o cliente.
Opção DHCPv6 37 — A opção 37 é a opção de ID remoto para DHCPv6 e é usada para inserir informações sobre a localização da rede do host remoto em pacotes DHCPv6. Você habilita a opção 37 em uma VLAN.
Nota:O DHCPv6 com a opção 37 não é compatível com a Série MX.
Opção DHCPv6 18 — A opção 18 é a opção de ID de circuito para DHCPv6 e é usada para inserir informações sobre a porta do cliente em pacotes DHCPv6. Essa opção inclui outros detalhes que podem ser configurados opcionalmente, como o prefixo e a descrição da interface.
Opção DHCPv6 16 — A opção 16 é a opção de ID do fornecedor para DHCPv6 e é usada para inserir informações sobre o fornecedor do hardware do cliente em pacotes DHCPv6.
Inspeção dinâmica de ARP (DAI)— evita ataques spoofing do Protocolo de Resolução de Endereços (ARP). As solicitações e respostas de ARP são comparadas com as entradas no banco de dados de espionagem DHCP, e as decisões de filtragem são tomadas com base nos resultados dessas comparações. Você habilita o DAI em uma VLAN.
Inspeção de descoberta de vizinhos IPv6 — evita ataques de spoofing de endereçoS IPv6. As solicitações e respostas de descoberta de vizinhos são comparadas com as entradas no banco de dados de espionagem DHCPv6, e as decisões de filtragem são tomadas com base nos resultados dessas comparações. Você permite a inspeção de descoberta de vizinhos em uma VLAN.
Proteção de origem IP — reduz os efeitos dos ataques de spoofing de endereço IP na LAN Ethernet. Com o proteção de origem IP habilitado, o endereço IP de origem no pacote enviado de uma interface de acesso não confiável é validado em relação ao banco de dados de espionagem DHCP. Se o pacote não puder ser validado, ele será descartado. Você habilita o proteção de origem IP em um domínio de VLAN ou ponte.
Proteção de origem IPv6 — proteção de origem IP para IPv6.
Limitação mac — protege contra inundações da tabela de comutação Ethernet (também conhecida como tabela de encaminhamento MAC ou tabela de encaminhamento de Camada 2). Você pode habilitar a limitação de MAC em uma interface.
Limitação de movimento MAC — rastreia o movimento MAC e detecta spoofing MAC em portas de acesso. Você habilita esse recurso em um domínio VLAN ou bridge.
Aprendizado MAC persistente — também conhecido como MAC pegajoso. O aprendizado MAC persistente permite que as interfaces retenham endereços MAC aprendidos dinamicamente em reinicializações do switch. Você habilita esse recurso em uma interface.
ARP proxy irrestrito — o switch responde a todas as mensagens ARP com seu próprio endereço MAC. Os hosts conectados às interfaces do switch não podem se comunicar diretamente com outros hosts. Em vez disso, todas as comunicações entre hosts passam pelo switch.
ARP proxy restrito — o switch não responde a uma solicitação de ARP se as redes físicas da origem e o alvo da solicitação de ARP forem as mesmas. Não importa se o host de destino tem o mesmo endereço IP que a interface de entrada ou um endereço IP diferente (remoto). Uma solicitação de ARP para um endereço de transmissão não provoca resposta.
Device Security— O controle de tempestade permite que o switch monitore pacotes de transmissão e tráfego unicast desconhecidos, ou desativar ou desativar temporariamente a interface quando um nível de tráfego especificado for excedido, impedindo assim que os pacotes proliferem e degradam a LAN. Você pode habilitar o controle de tempestade em interfaces de acesso ou interfaces de tronco.
Encryption Standards— Os padrões suportados incluem:
Padrão avançado de criptografia (AES) de 128, 192 e 256 bits
Padrão de criptografia de dados (DES) de 56 bits e 3DES de 168 bits
Veja também
Entenda como proteger as portas de acesso contra ataques comuns
Os recursos de segurança de porta podem proteger a Série EX da Juniper Networks e os switches de ethernet QFX10000 contra vários tipos de ataques. Os métodos de proteção contra alguns ataques comuns são:
- Mitigação dos ataques de transbordamento da tabela de comutação da Ethernet
- Mitigação de ataques de servidores DHCP desonestos
- Proteção contra ataques spoofing de ARP (não se aplica a switches da Série QFX10000)
- Proteção contra ataques de alteração de banco de dados de snooping dhcp (não se aplica a switches da Série QFX10000)
- Proteção contra ataques de desavencimento do DHCP
Mitigação dos ataques de transbordamento da tabela de comutação da Ethernet
Em um ataque de transbordamento na tabela de comutação da Ethernet, um intruso envia tantas solicitações de novos endereços MAC que a tabela não pode aprender todos os endereços. Quando o switch não pode mais usar informações na tabela para encaminhar tráfego, ele é forçado a transmitir mensagens. O fluxo de tráfego no switch é interrompido, e os pacotes são enviados para todos os hosts da rede. Além de sobrecarregar a rede com tráfego, o invasor também pode ser capaz de farejar esse tráfego de transmissão.
Para mitigar esses ataques, configure um limite MAC para endereços MAC aprendidos e alguns endereços MAC específicos permitidos. Use o recurso de limitação MAC para controlar o número total de endereços MAC que podem ser adicionados à tabela de comutação Ethernet para a interface ou interfaces especificadas. Ao definir os endereços MAC que são explicitamente permitidos, você garante que os endereços dos dispositivos de rede cujo acesso à rede é essencial têm a garantia de serem incluídos na tabela de comutação da Ethernet. Veja exemplo: Proteção contra ataques de transbordamento da tabela de comutação Ethernet.
Você também pode configurar endereços MAC aprendidos para persistir em cada interface. Usado em combinação com um limite MAC configurado, esse aprendizado MAC persistente ajuda a evitar a perda de tráfego após um reinício ou um evento de interface para baixo e também aumenta a segurança da porta limitando os endereços MAC permitidos na interface.
Mitigação de ataques de servidores DHCP desonestos
Se um invasor configurar um servidor DHCP desonesto para se passar por um servidor DHCP legítimo na LAN, o servidor desonesto pode começar a emitir leasings para os clientes DHCP da rede. As informações fornecidas aos clientes por este servidor desonesto podem interromper o acesso à rede, causando o DoS. O servidor desonesto também pode atribuir-se como o dispositivo de gateway padrão para a rede. O invasor pode então farejar o tráfego da rede e perpetrar um ataque homem-no-meio — ou seja, desvia o tráfego destinado a um dispositivo de rede legítimo a um dispositivo de sua escolha.
Para mitigar um ataque de servidor DHCP desonesto, defina a interface à qual esse servidor desonesto está conectado como não confiável. Essa ação bloqueará todas as mensagens de servidor DHCP de entrada dessa interface. Veja exemplo: Proteção contra ataques de servidor DHCP desonestos.
O switch registra todos os pacotes de servidor DHCP recebidos em portas não confiáveis , por exemplo:
5 DHCPOFFER não confiável recebido, interface ge-0/0/0.0[65], vlan v1[10] servidor ip/mac 12.12.12.1/00:00:00:01:12 Oferta ip/cliente mac 12.12.12.253/00:AA:BB:CC:DD:01
Você pode usar essas mensagens para detectar servidores DHCP maliciosos na rede.
Para switches da Série QFX, incluindo QFX10000, se você anexar um servidor DHCP a uma porta de acesso, você deve configurar a porta como confiável.
Proteção contra ataques spoofing de ARP (não se aplica a switches da Série QFX10000)
Em spoofing de ARP, um invasor envia mensagens falsas de ARP na rede. O invasor associa seu próprio endereço MAC ao endereço IP de um dispositivo de rede conectado ao switch. Qualquer tráfego enviado para esse endereço IP é enviado ao invasor. Agora, o invasor pode criar vários tipos de maldades, incluindo farejar os pacotes que eram destinados a outro host e perpetrar ataques de homem no meio. (Em um ataque homem-no-meio, o atacante intercepta mensagens entre dois hosts, lê-las e talvez as altera, tudo sem que os hosts originais saibam que suas comunicações foram comprometidas. )
Para se proteger contra spoofing de ARP em seu switch, habilite a espionagem DHCP e a inspeção dinâmica de ARP (DAI). A espionagem dhcp constrói e mantém a mesa de espionagem DHCP. Essa tabela contém os endereços MAC, endereços IP, tempos de locação, tipos de ligação, informações de VLAN e informações de interface para as interfaces não confiáveis no switch. O DAI usa as informações na tabela de espionagem DHCP para validar pacotes ARP. Pacotes ARP inválidos são bloqueados e, quando bloqueados, uma mensagem de log do sistema é gravada que inclui o tipo de pacote ARP e o endereço IP e endereço MAC do remetente.
Proteção contra ataques de alteração de banco de dados de snooping dhcp (não se aplica a switches da Série QFX10000)
Em um ataque projetado para alterar o banco de dados de espionagem DHCP, um intruso introduz um cliente DHCP em uma das interfaces de acesso não confiáveis do switch que tem um endereço MAC idêntico ao de um cliente em outra porta não confiável. O intruso adquire o leasing DHCP, o que resulta em mudanças nas entradas na mesa de espionagem DHCP. Posteriormente, as solicitações de ARP válidas do cliente legítimo foram bloqueadas.
Para se proteger contra esse tipo de alteração do banco de dados de espionagem DHCP, configure endereços MAC que são explicitamente permitidos na interface. Veja exemplo: Proteção contra ataques de banco de dados de espionagem DHCP.
Proteção contra ataques de desavencimento do DHCP
Em um ataque de DHCP, um invasor inunda uma LAN Ethernet com solicitações DHCP de endereços MAC falsificados (falsificados) para que os servidores DHCP confiáveis do switch não possam acompanhar as solicitações de clientes DHCP legítimos no switch. O espaço de endereço desses servidores é completamente usado para que eles não possam mais atribuir endereços IP e tempos de locação aos clientes. As solicitações de DHCP desses clientes são retiradas — ou seja, o resultado é uma negação de serviço (DoS) — ou direcionadas a um servidor DHCP desonesto criado pelo invasor para se passar por um servidor DHCP legítimo na LAN.
Para proteger o switch contra ataques de desavenças de DHCP, use o recurso de limitação MAC. Especifique o número máximo de endereços MAC que o switch pode aprender nas interfaces de acesso às quais esses clientes se conectam. O servidor ou servidor DHCP do switch poderá então fornecer o número especificado de endereços IP e leasings para esses clientes e não mais. Se um ataque de DHCP ocorrer após a atribuição do número máximo de endereços IP, o ataque falhará. Veja exemplo: Proteção contra ataques de desavencimento dhcp.
Para obter proteção adicional nos switches da Série EX, você pode configurar endereços MAC aprendidos em cada interface para persistir nas reinicializações do switch, permitindo o aprendizado MAC persistente. Esse aprendizado MAC persistente ajuda a evitar a perda de tráfego após uma reinicialização e garante que, mesmo após uma reinicialização ou um evento de interface para baixo, os endereços MAC persistentes são reentrados no banco de dados de encaminhamento em vez do switch aprendendo novos endereços MAC.
Veja também
Configuração da segurança de porta (ELS)
Os recursos descritos são suportados em switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, consulte Configurando a segurança de porta (não-ELS). Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
As LANs Ethernet são vulneráveis a ataques como spoofing de endereços e negação de serviço (DoS) de Camada 2 em dispositivos de rede. Os recursos de segurança de porta DHCP ajudam a proteger as portas de acesso no switch contra as perdas de informações e produtividade que podem resultar de tais ataques.
Os seguintes recursos de segurança de porta são suportados para DHCPv4:
DHCP bisbilhotando
Inspeção dinâmica de ARP (DAI)
Proteção de origem IP
Opção DHCP 82
Os seguintes recursos de segurança de porta são suportados para DHCPv6:
DHCPv6 bisbilhotando
Inspeção de descoberta de vizinhos IPv6
Guarda-fonte IPv6
Opção DHCPv6 37, opção 18 e opção 16
A espionagem DHCP e a espionagem DHCPv6 são desabilitadas por padrão em qualquer VLAN. Nenhuma configuração explícita de CLI é usada para permitir espionagem DHCP ou snooping DHCPv6. Quando você configura qualquer um dos recursos de segurança de porta para uma VLAN no nível de hierarquia, a [edit vlans vlan-name forwarding-options dhcp-security] espionagem DHCP e a espionagem DHCPv6 são automaticamente habilitadas nesse VLAN.
A partir do Junos OS Release 14.1X53-D47 e 15.1R6, você pode habilitar a espionagem DHCP ou DHCPv6 bisbilhotando uma VLAN sem configurar outros recursos de segurança de porta configurando a dhcp-security declaração de CLI noedit vlans vlan-name forwarding-options [] nível de hierarquia.
DAI, inspeção de descoberta de vizinhos IPv6, proteção de origem IP, guarda-fonte IPv6, opção DHCP 82 e opções DHCPv6 estão configuradas por VLAN. Você deve configurar uma VLAN antes de configurar esses recursos de segurança de porta DHCP. Consulte a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI).
Os recursos de segurança de porta DHCP que você especifica para a VLAN aplicam-se a todas as interfaces incluídas nessa VLAN. No entanto, você pode atribuir diferentes atributos a uma interface de acesso ou a um grupo de interfaces de acesso dentro da VLAN. A interface de acesso ou as interfaces devem primeiro ser configuradas como um grupo usando a group declaração no nível hierárquico [edit vlans vlan-name forwarding-options dhcp-security] . Um grupo deve ter pelo menos uma interface.
Configurar um grupo de interfaces de acesso em um VLAN no nível de [edit vlans vlan-name forwarding-options dhcp-security] hierarquia permite automaticamente a espionagem de DHCP para todas as interfaces na VLAN.
Atributos que podem ser especificados para interfaces de acesso usando a group declaração são:
Especificando que a interface tem um endereço IP-MAC estático (
static-ip or static-ipv6)Especificando uma interface de acesso para agir como uma interface confiável para um servidor DHCP (
trusted)Especificando uma interface para não transmitir opções DHCP opção 82 (
no-option82) ou DHCPv6 (no-option37)
As interfaces de tronco são confiáveis por padrão. No entanto, você pode anular esse comportamento padrão e definir uma interface de tronco como untrusted.
Para obter mais detalhes, veja:
Você pode substituir as configurações gerais de segurança de porta para a VLAN configurando um grupo de interfaces de acesso dentro dessa VLAN. Para obter mais informações, veja:
Veja também
Configuração da segurança de porta (não-ELS)
As LANs Ethernet são vulneráveis a ataques como spoofing de endereços e negação de serviço (DoS) de Camada 2 em dispositivos de rede. Recursos de segurança de porta, como snooping DHCP, DAI (inspeção dinâmica de ARP), limitação mac, limitação de movimento MAC e aprendizado MAC persistente, bem como servidor DHCP confiável, ajudam a proteger as portas de acesso no switch contra a perda de informações e produtividade que tais ataques podem causar.
Dependendo do recurso específico, você pode configurar o recurso de segurança de porta em:
VLANs — uma VLAN específica ou todas as VLANs
Interfaces — uma interface específica ou todas as interfaces
Se você configurar um dos recursos de segurança de porta em todas as VLANs ou todas as interfaces, o software do switch permite que o recurso de segurança de porta em todas as VLANs e todas as interfaces que não estejam explicitamente configuradas com outros recursos de segurança de porta.
No entanto, se você configurar explicitamente um dos recursos de segurança de porta em uma VLAN específica ou em uma interface específica, você deve configurar explicitamente quaisquer recursos adicionais de segurança de porta que você queira aplicar a essa VLAN ou interface. Caso contrário, o software do switch aplica automaticamente os valores padrão do recurso.
Por exemplo, se você desativar o DHCP bisbilhotando todas as VLANs e decidir ativar explicitamente o proteção de origem IP apenas em um VLAN específico, você também deve permitir explicitamente que o DHCP bisbilhotasse essa VLAN específica. Caso contrário, o valor padrão de nenhuma espionagem DHCP se aplica a essa VLAN.
Para configurar recursos de segurança de porta usando o CLI:
- Habilitando o DHCP Snooping
- Habilitando a inspeção dinâmica de ARP (DAI)
- Habilitando a inspeção do IPv6 Neighbor Discovery
- Limitação de endereços MAC dinâmicos em uma interface
- Habilitando o aprendizado MAC persistente em uma interface
- Limitando a movimentação de endereços MAC
- Restringindo um endereço MAC do cliente VoIP em um VLAN VoIP
- Configuração de servidores DHCP confiáveis em uma interface
Habilitando o DHCP Snooping
Você pode configurar a espionagem DHCP para permitir que o dispositivo monitore as mensagens DHCP recebidas, garantir que os hosts usem apenas os endereços IP atribuídos a eles e permitir o acesso apenas a servidores DHCP autorizados.
Para habilitar a espionagem de DHCP:
Em uma VLAN específica:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
Em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
Para habilitar a espionagem DHCPv6:
Em uma VLAN específica:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
Em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
Habilitando a inspeção dinâmica de ARP (DAI)
Você pode habilitar o DAI a se proteger contra espionagem ARP. Para habilitar o DAI:
Em uma única VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
Em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
Habilitando a inspeção do IPv6 Neighbor Discovery
Você pode habilitar a inspeção de descoberta de vizinhos para proteger contra spoofing de endereçoS IPv6.
Para permitir a descoberta de vizinhos em uma única VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
Para permitir a descoberta de vizinhos em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
Limitação de endereços MAC dinâmicos em uma interface
Limite o número de endereços MAC dinâmicos permitidos em uma interface e especifique a ação a ser tomada se o limite for excedido:
Em uma única interface:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
Em todas as interfaces:
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
Habilitando o aprendizado MAC persistente em uma interface
Você pode configurar endereços MAC aprendidos para persistir em uma interface em todas as reinicializações do switch:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
Limitando a movimentação de endereços MAC
Você pode limitar o número de vezes que um endereço MAC pode mover de sua interface original em 1 segundo:
Em uma única VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
Em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
Restringindo um endereço MAC do cliente VoIP em um VLAN VoIP
Restringir o endereço MAC de um cliente VoIP de ser aprendido em uma VLAN VoIP configurada:
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
Qualquer endereço MAC aprendido nessa interface para o VoIP VLAN não é aprendido em uma VLAN de dados com essa mesma interface. Se um endereço MAC tiver sido aprendido em uma interface VLAN de dados e o endereço MAC for aprendido em um VLAN VoIP com essa mesma interface, o endereço MAC é removido da interface VLAN de dados.
Configuração de servidores DHCP confiáveis em uma interface
Configure um servidor DHCP confiável em uma interface:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
Exemplo: Configuração da segurança de porta (não ELS)
Você pode configurar a espionagem DHCP, inspeção dinâmica de ARP (DAI), limitação de MAC, aprendizado MAC persistente e limitação de movimento MAC nas portas não confiáveis de switches para proteger os switches e a LAN Ethernet contra spoofing de endereços e ataques de negação de serviço (DoS) da Camada 2. Você também pode configurar um servidor DHCP confiável e endereços MAC específicos (permitidos) para as interfaces do switch.
Os switches usados neste exemplo não suportam o estilo de configuração ELS. Para obter informações sobre a configuração da segurança de porta nos switches ELS, consulte Configurando segurança de porta (ELS).
Este exemplo descreve como configurar recursos básicos de segurança de porta em um switch:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Uma Série EX ou Série QFX.
Junos OS Versão 11.4 ou posterior para switches da Série EX ou Junos OS Versão 12.1 ou posterior para a Série QFX
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Antes de configurar recursos básicos de segurança de porta, certifique-se de ter:
Conectou o servidor DHCP ao switch.
Configurou uma VLAN no switch. Veja a tarefa para sua plataforma:
Neste exemplo, o servidor DHCP e seus clientes são todos membros de uma única VLAN no switch.
Visão geral e topologia
As LANs Ethernet são vulneráveis a ataques de spoofing e DoS em dispositivos de rede. Para proteger os dispositivos contra esses ataques, você pode configurar:
Espionagem DHCP para validar mensagens de servidor DHCP
DAI para proteger contra spoofing MAC
LIMITAÇÃO MAC para restringir o número de endereços MAC que o switch adiciona ao seu cache de endereço MAC
Mac move limitação para ajudar a evitar spoofing MAC
Aprendizado MAC persistente (mac pegajoso) para restringir os endereços MAC que podem ser aprendidos em uma interface com os primeiros aprendidos, mesmo após uma reinicialização do switch
Servidor DHCP confiável configurado em uma porta confiável para proteger contra servidores DHCP desonestos que enviam leasings
Este exemplo mostra como configurar esses recursos de segurança em um switch conectado a um servidor DHCP.
A configuração para este exemplo inclui o VLAN employee-vlan no switch. A Figura 1 ilustra a topologia para este exemplo.
Topologia
básica de portas
Os componentes da topologia para este exemplo são mostrados na Tabela 1.
| Configurações de propriedades | |
|---|---|
Hardware do switch |
Um switch da Série EX ou da série QFX |
Nome e ID da VLAN |
funcionário-vlan, tag 20 |
Sub-redes VLAN |
192.0.2.16/28 192.0.2.17 a 192.0.2.30 192.0.2.31 é o endereço de transmissão da sub-rede |
Interfaces em funcionários-vlan |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Interface para servidor DHCP |
ge-0/0/8 |
Neste exemplo, o switch está configurado inicialmente com a configuração padrão de segurança da porta. Na configuração padrão do switch:
O acesso seguro de porta é ativado no switch.
A espionagem DHCP e o DAI são desativados em todas as VLANs.
Todas as portas de acesso não são confiáveis, e todas as portas de tronco são confiáveis para espionagem DHCP.
Nas tarefas de configuração para este exemplo, você define o servidor DHCP como confiável; você permite que o DHCP snooping, DAI e MAC movam limitações em uma VLAN; você define um valor para um limite MAC em algumas interfaces; você configura alguns endereços MAC específicos (permitidos) em uma interface; e você configura o aprendizado MAC persistente em uma interface.
Configuração
Para configurar a segurança de porta básica em um switch cujas portas de servidor DHCP e clientes estão em uma única VLAN:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a segurança básica da porta no switch, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
Procedimento passo a passo
Configure a segurança de porta básica no switch:
Habilite a espionagem do DHCP na VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
Especifique a interface (porta) a partir da qual as respostas DHCP são permitidas:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
Habilite a inspeção dinâmica de ARP (DAI) na VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Configure um limite MAC de 4 e use a ação padrão, drop. (Os pacotes são desativados e o endereço MAC não é adicionado à tabela de comutação Ethernet se o limite MAC for excedido nas interfaces):
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
Permita que endereços MAC aprendidos para uma interface específica persistam nas reinicializações dos eventos de switch e interface para baixo, permitindo o aprendizado MAC persistente:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
Configure um limite de movimento MAC de 5 e use a ação padrão, drop. (Os pacotes são desativados e o endereço MAC não é adicionado à tabela de comutação Ethernet se um endereço MAC tiver excedido o limite de movimento MAC):
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
Configure endereços MAC permitidos:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Resultados
Confira os resultados da configuração:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
Verificação
Para confirmar que a configuração está funcionando corretamente:
- Verificar se a snooping do DHCP está funcionando corretamente no switch
- Verificar se a DAI está funcionando corretamente no switch
- Verificar se a limitação do MAC, o limite de movimento MAC e o aprendizado MAC persistente estão funcionando corretamente no switch
- Verificar se os endereços MAC permitidos estão funcionando corretamente no switch
Verificar se a snooping do DHCP está funcionando corretamente no switch
Propósito
Verifique se a espionagem de DHCP está funcionando no switch.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.
Exibir as informações de espionagem DHCP quando a interface em que o servidor DHCP se conecta ao switch é confiável. Os resultados de saída a seguir são quando as solicitações são enviadas dos endereços MAC e o servidor fornece os endereços IP e leasings:
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
Significado
Quando a interface em que o servidor DHCP se conecta ao switch foi definida como confiável, a saída (ver amostra anterior) mostra, para cada endereço MAC, o endereço IP atribuído e o tempo de locação — ou seja, o tempo, em segundos, permanecendo antes que o leasing expira.
Se o servidor DHCP tivesse sido configurado como não confiável, nenhuma entrada seria adicionada ao banco de dados de espionagem DHCP, e nada seria mostrado na saída do show dhcp snooping binding comando.
Verificar se a DAI está funcionando corretamente no switch
Propósito
Verifique se a DAI está funcionando no switch.
Ação
Envie algumas solicitações de ARP de dispositivos de rede conectados ao switch.
Exibir as informações da DAI:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
A saída de amostra mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O switch compara as solicitações de ARP e as respostas com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados, o pacote será descartado.
Verificar se a limitação do MAC, o limite de movimento MAC e o aprendizado MAC persistente estão funcionando corretamente no switch
Propósito
Verifique se a limitação de MAC, limitação de movimento MAC e aprendizado MAC persistente estão funcionando no switch.
Ação
Suponha que dois pacotes tenham sido enviados de hosts em ge-0/0/1 e cinco pacotes de hosts no ge-0/0/2, com ambas as interfaces definidas para um limite MAC de 4 com a queda de ação padrão e ge-0/0/1 habilitado para o aprendizado MAC persistente.
Exibir os endereços MAC aprendidos:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Agora suponha que os pacotes tenham sido enviados de dois dos hosts no ge-0/0/2 depois de terem sido transferidos para outras interfaces mais de cinco vezes em 1 segundo, com o funcionário-vlan definido para um limite de movimento MAC de 5 com a queda de ação padrão.
Exibir os endereços MAC na tabela:
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
A primeira saída de amostra mostra que, com um limite MAC de 4 para cada interface, o quinto endereço MAC no ge-0/0/2 não foi aprendido porque excedeu o limite MAC. A segunda saída de amostra mostra que os endereços MAC para três dos hosts no ge-/0/0/2 não foram aprendidos, porque os hosts haviam sido transferidos para trás mais de cinco vezes em 1 segundo.
A interface ge-0/0/1.0 foi habilitada para o aprendizado MAC persistente, de modo que os endereços MAC associados a essa interface são do tipo persistente.
Verificar se os endereços MAC permitidos estão funcionando corretamente no switch
Propósito
Verifique se os endereços MAC permitidos estão funcionando no switch.
Ação
Exibir as informações do cache MAC após cinco endereços MAC permitidos terem sido configurados na interface ge-0/0/2:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
Como o valor limite mac para esta interface foi definido para 4, apenas quatro dos cinco endereços permitidos configurados são aprendidos.