例:IPスプーフィングおよびARPスプーフィングからスイッチを保護するためのIPソースガードおよびダイナミックARPインスペクションの設定
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする Junos OS を使用しています。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 例: ARP スプーフィング攻撃からの保護を参照してください。ELSの詳細については、「 拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
EX9200スイッチでは、MC-LAGシナリオでDHCPスヌーピング、DAI、IPソースガードはサポートされていません。
この例では、指定されたVLANでIPソースガードとダイナミックARPインスペクション(DAI)を有効にして、スプーフィングされたIP/MACアドレスとARPスプーフィング攻撃からスイッチを保護する方法を説明します。IP ソース ガードまたは DAI のいずれかをイネーブルにすると、同じ VLAN の DHCP スヌーピングが自動的にイネーブルになります。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
この例は、QFX5100、QFX5110、および QFX5200 スイッチにも適用されます。
1 つの EX4300 スイッチまたは EX9200 スイッチ
EX シリーズスイッチの Junos OS リリース 13.2X50-D10 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
ARP スプーフィング攻撃を軽減するために IP/MAC スプーフィングや DAI を防止するために IP ソース ガードを設定する前に、以下が完了していることを確認してください。
DHCPサーバーをスイッチに接続していること。
DHCPセキュリティ機能を追加するVLANを設定済みであること。
概要とトポロジー
イーサネットLANスイッチは、送信元MACアドレスまたは送信元IPアドレスのなりすまし(偽造)を伴うセキュリティ攻撃に対して脆弱です。これらのスプーフィングされたパケットは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されます。これらのスプーフィングされたパケットは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されます。IP ソース ガードは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されたパケットの IP ソース アドレスと MAC ソース アドレスを、DHCP スヌーピング データベースに保存されているエントリと照合します。IP ソース ガードが、パケット ヘッダーに無効な送信元 IP アドレスまたは送信元 MAC アドレスが含まれていると判断した場合、スイッチがパケットを転送しない、つまりパケットが廃棄されるようにします。
別のタイプのセキュリティ攻撃は、ARPスプーフィング(ARPポイズニングまたはARPキャッシュポイズニングとも呼ばれる)である。ARPスプーフィングは、中間者攻撃を開始する方法です。攻撃者は、LAN上の別のデバイスのMACアドレスをスプーフィングするARPパケットを送信します。スイッチは、適切なネットワーク デバイスにトラフィックを送信するのではなく、適切なデバイスになりすましているスプーフィングされたアドレスを持つデバイスにトラフィックを送信します。なりすましているデバイスが攻撃者のマシンである場合、攻撃者は別のデバイスに移動するはずのスイッチからすべてのトラフィックを受信します。その結果、スイッチからのトラフィックの宛先が誤って表示され、適切な宛先に到達できなくなります。
ダイナミック ARP インスペクション(DAI)が有効になっている場合、スイッチは、各インターフェイスで受信した無効な ARP パケットの数と、送信者の IP アドレスおよび MAC アドレスを記録します。これらのログ メッセージを使用して、ネットワーク上の ARP スプーフィングを発見できます。
この例では、DHCP サーバに接続されたスイッチでこれらの重要なポート セキュリティ機能を設定する方法を示します。この例のセットアップには、スイッチの VLAN employee-vlan が含まれています。 図 1 に、この例のトポロジーを示します。
DHCP サーバー インターフェイスに接続するトランク インターフェイスは、デフォルトで信頼できるポートです。DHCP サーバーをアクセス ポートに接続する場合、ポートを信頼済みとして設定する必要があります。その前に、サーバーが物理的にセキュリティで保護されていること、つまり、サーバーへのアクセスが監視および制御されていることを確認してください。DHCP の信頼ポートと信頼できないポートの詳細については、 信頼された DHCP サーバーの概要と使用を参照してください。
位相幾何学
のネットワークトポロジー
この例のトポロジーのコンポーネントを 表 1 に示します。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4300 または EX9200 スイッチ 1 台 |
VLAN 名および ID |
|
|
|
VLANサブネット |
|
インターフェイス |
|
DHCPサーバーに接続するインターフェイス |
|
この例では、スイッチはすでに次のように設定されています。
すべてのアクセス ポートは信頼できません。これがデフォルト設定です。
トランク ポート(
ge-0/0/8)は信頼済みで、これが既定の設定です。VLAN(
employee-vlan)は、指定されたインターフェイスを含むように設定されています。
構成
IPスプーフィングとARP攻撃からスイッチを保護するために、IPソースガードとDAIを設定する(これにより、DHCPスヌーピングも自動的に設定する)には、次の手順に従います。
プロシージャ
CLIクイック構成
IP ソース ガードと DAI を迅速に設定する(これにより、DHCP スヌーピングも自動的に設定する)には、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans employee-vlan forwarding-options dhcp-security ip-source-guard set vlans employee-vlan forwarding-options dhcp-security arp-inspection
手順
VLANでIPソースガードとDAIを設定します(これにより、DHCPスヌーピングも自動的に設定されます)。
VLAN で IP ソース ガードを設定します。
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set ip-source-guard
VLAN で DAI を有効にします。
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set arp-inspection
業績
構成の結果を確認します。
user@switch> show vlans employee-vlan forwarding-options
employee-vlan {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
検証
設定が正常に機能していることを確認します。
DHCPスヌーピングがスイッチ上で正しく動作していることの確認
目的
DHCPスヌーピングがスイッチで動作していることを確認します。
アクション
スイッチに接続されたネットワークデバイス(ここではDHCPクライアント)からDHCPリクエストを送信します。
DHCP サーバがスイッチに接続するポートが信頼できる場合に、DHCP スヌーピング情報を表示します。要求が MAC アドレスから送信され、サーバーが IP アドレスとリースを提供した場合、次の出力結果になります。
user@switch> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
意味
DHCPサーバーがスイッチに接続するインターフェイスがtrustedに設定されている場合、出力(前のサンプルを参照)には、割り当てられたIPアドレスについて、デバイスのMACアドレス、VLAN名、リースが期限切れになるまでの残り時間(秒単位)が表示されます。
IPソース ガードがVLANで動作していることの検証
目的
IPソース ガードが有効で、VLAN で動作していることを確認します。
アクション
スイッチに接続されたネットワークデバイス(ここではDHCPクライアント)からDHCPリクエストを送信します。データVLANのIPソースガード情報を表示します。
user@switch> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
意味
IPソースガードデータベーステーブルには、IPソースガードが有効になっているVLANが含まれています。
スイッチで DAI が正しく動作していることの検証
目的
DAI がスイッチで動作していることを確認します。
アクション
スイッチに接続されたネットワーク デバイスからARP 要求をいくつか送信する。
DAI 情報を表示します。
user@switch> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意味
サンプル出力には、インターフェイスごとに受信および検査された ARP パケットの数と、各インターフェイスで検査に合格したパケット数と失敗したパケット数のリストが表示されます。スイッチは、ARP 要求および応答を DHCP スヌーピング データベースのエントリと比較します。ARP パケット内の MAC アドレスまたは IP アドレスがデータベース内の有効なエントリと一致しない場合、パケットはドロップされます。