Espionaje DHCP
La supervisión de DHCP en un dispositivo Junos OS valida los mensajes DHCP y elimina el tráfico no válido. Puede configurar la forma en que el agente de retransmisión DHCP gestiona los paquetes DHCP espiados. Según la configuración, el agente de retransmisión DHCP reenvía o descarta los paquetes fisgones que recibe. Para obtener más información, lea este tema.
Soporte de espionaje DHCP
La supervisión de DHCP proporciona seguridad adicional al identificar los paquetes DHCP entrantes y rechazar el tráfico DHCP que se determine que es inaceptable desde dispositivos que no son de confianza en la red.
- ¿Qué es DHCP Snooping?
- Beneficios del espionaje DHCP
- Activación de DHCP Snooping
- Configuración de DHCP Snooping
¿Qué es DHCP Snooping?
DHCP asigna direcciones IP dinámicamente, arrendando direcciones a dispositivos para que las direcciones puedan reutilizarse cuando ya no sean necesarias para los dispositivos a los que fueron asignadas. Los hosts y dispositivos finales que requieren direcciones IP obtenidas a través de DHCP deben comunicarse con un servidor DHCP a través de la LAN.
El espionaje DHCP examina los paquetes DHCP entrantes y examina los mensajes DHCP. Extrae sus direcciones IP y la información de arrendamiento asignada a los clientes y crea una base de datos. Con esta base de datos, puede determinar si los paquetes que llegan provienen de los clientes válidos, es decir, si el servidor DHCP asignó las direcciones IP de los clientes. De esta manera, el espionaje DHCP actúa como guardián de la seguridad de la red al realizar un seguimiento de las direcciones IP válidas asignadas a los dispositivos de red descendentes por un servidor DHCP de confianza (el servidor está conectado a un puerto de red de confianza).
Beneficios del espionaje DHCP
El espionaje DHCP proporciona una capa adicional de seguridad a través del filtrado dinámico de origen IP.
La supervisión de DHCP puede evitar la actividad no autorizada de DHCP en la red mediante el filtrado de paquetes DHCP que llegan a los puertos incorrectos o con contenido incorrecto.
Activación de DHCP Snooping
Cuando utilice la función de espionaje DHCP, es importante que comprenda cómo habilitar la función de espionaje DHCP.
En un dispositivo Junos OS, no puede configurar la función de espionaje DHCP como una función independiente. Siempre que configure la seguridad DHCP, o la retransmisión DHCP o el servidor DHCP para una VLAN específica o una interfaz o instancia de enrutamiento del dispositivo, la supervisión DHCP se habilita automáticamente en esa instancia de VLAN/interfaz/enrutamiento para realizar su tarea.
Por ejemplo:
- Cuando se habilita la retransmisión DHCP en una lista determinada de interfaces de una instancia de enrutamiento específica
- La supervisión de DHCP se habilita automáticamente en esas interfaces para esa instancia de enrutamiento.
- Cuando habilita la seguridad DHCP en una VLAN específica, la supervisión de DHCP se habilita automáticamente en esa VLAN.
Junos OS habilita el espionaje DHCP en un conmutador/enrutador/firewall en:
-
Una instancia de enrutamiento al configurar las siguientes opciones en esa instancia de enrutamiento:
dhcp-relay
en el nivel jerárquico [edit forwarding-options
].dhcp-local-server
en el nivel jerárquico [edit system services
].
-
Un conmutador al configurar la siguiente opción para cualquier característica de seguridad de puerto:
dhcp-security
en el nivel jerárquico [edit vlans vlan-name forwarding-options
].
Si necesita configurar la retransmisión DHCP, utilice la forward-only
instrucción a menos que necesite administración de suscriptores o clase de servicio (CoS).
Le recomendamos que lea la documentación de DHCP y utilice un laboratorio con traceoptions de DHCP habilitadas para comprobar y comprender la configuración.
Configuración de DHCP Snooping
En la configuración predeterminada de espionaje DHCP, todo el tráfico se espía.
En un dispositivo Junos OS, la supervisión DHCP se habilita en una instancia de enrutamiento cuando se configuran las siguientes opciones en esa instancia de enrutamiento:
dhcp-relay
Instrucción en el[edit forwarding-options]
nivel jerárquicodhcp-local-server
Instrucción en el[edit system services]
nivel jerárquicoOpcionalmente, puede utilizar la
forward-snooped-clients
instrucción para evaluar el tráfico fisgoneado y determinar si el tráfico se reenvía o se descarta, en función de si la interfaz está configurada o no como parte de un grupo.
El enrutador descarta los paquetes fisgones de forma predeterminada si no hay ningún suscriptor asociado con el paquete. Para habilitar el procesamiento normal de paquetes espeados, debe configurar explícitamente la allow-snooped-clients
instrucción en el nivel de [edit forwarding-options dhcp-relay]
jerarquía.
Puede configurar la compatibilidad de espionaje DHCP para una instancia de enrutamiento específica para lo siguiente:
Agente de retransmisión DHCPv4: anule la configuración predeterminada de espionaje del enrutador (o conmutador) y especifique que la supervisión DHCP está activada o deshabilitada globalmente, para un grupo de interfaces con nombre o para una interfaz específica dentro de un grupo con nombre.
En un procedimiento independiente, puede establecer una configuración global para especificar si el agente de retransmisión DHCPv4 reenvía o descarta paquetes fisgones para todas las interfaces, solo las interfaces configuradas o solo las interfaces no configuradas. El enrutador también utiliza la configuración global de espionaje del agente de retransmisión DHCP para determinar si se deben reenviar o descartar paquetes BOOTREPLY espiados. Una solicitud de renovación puede ser unidifusión directamente al servidor DHCP. Este es un paquete BOOTPREQUEST y está espiado.
Agente de retransmisión DHCPv6: al igual que con la compatibilidad de espionaje con el agente de retransmisión DHCPv4, puede anular la configuración predeterminada de espionaje del agente de retransmisión DHCPv6 en el enrutador para activar o desactivar explícitamente la compatibilidad de espionaje globalmente, para un grupo de interfaces con nombre o para una interfaz específica con un grupo de interfaces con nombre.
En topologías de retransmisión múltiple en las que hay más de un agente de retransmisión DHCPv6 entre el cliente DHCPv6 y el servidor DHCPv6, la supervisión permite que los agentes de retransmisión DHCPv6 intermedios entre el cliente y el servidor reciban y procesen correctamente el tráfico de unidifusión del cliente y lo reenvíen al servidor. El agente de retransmisión DHCPv6 espía los paquetes DHCPv6 de unidifusión entrantes configurando un filtro con el puerto UDP 547 (el puerto del servidor UDP DHCPv6) por tabla de reenvío. A continuación, el agente de retransmisión DHCPv6 procesa los paquetes interceptados por el filtro y los reenvía al servidor DHCPv6.
A diferencia del agente de retransmisión DHCPv4, el agente de retransmisión DHCPv6 no admite la configuración global de compatibilidad de reenvío para paquetes espía DHCPv6.
Servidor local DHCP: permite configurar si el servidor local DHCP reenvía o descarta paquetes esnifados para todas las interfaces, solo las interfaces configuradas o solo las interfaces no configuradas.
También puede desactivar los filtros de espionaje. En las configuraciones anteriores, todo el tráfico DHCP se reenvía al plano de enrutamiento más lento de la instancia de enrutamiento antes de reenviarlo o descartarlo. La desactivación de los filtros de espionaje provoca que el tráfico DHCP que se puede reenviar directamente desde el plano de control de hardware más rápido omita el plano de control de enrutamiento.
Ejemplo: configuración de la compatibilidad de espionaje DHCP para el Agente de retransmisión DHCP
En este ejemplo se muestra cómo configurar la compatibilidad de espionaje DHCP para el agente de retransmisión DHCP.
Requisitos
Configure el agente de retransmisión DHCP. Consulte Descripción general extendida del agente de retransmisión DHCP.
Visión general
En este ejemplo, configure la compatibilidad de espionaje DHCP para el agente de retransmisión DHCP completando las siguientes operaciones:
Anule la configuración predeterminada de espionaje DHCP y habilite la compatibilidad con espionaje DHCP para las interfaces del grupo frankfurt.
Configure el agente de retransmisión DHCP para reenviar paquetes espiados solo a interfaces configuradas.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar la compatibilidad de retransmisión DHCP con la supervisión de DHCP:
Especifique que desea configurar el agente de retransmisión DHCP.
[edit] user@host# edit forwarding-options dhcp-relay
Especifique el grupo con nombre de interfaces en las que se admite la supervisión de DHCP.
[edit forwarding-options dhcp-relay] user@host# edit group frankfurt
Especifique las interfaces que desea incluir en el grupo. El agente de retransmisión DHCP las considera como las interfaces configuradas al determinar si se debe reenviar o eliminar el tráfico.
[edit forwarding-options dhcp-relay group frankfurt] user@host# set interface fe-1/0/1.3 upto fe-1/0/1.9
Especifique que desea reemplazar la configuración predeterminada del grupo.
[edit forwarding-options dhcp-relay group frankfurt] user@host# edit overrides
Habilite la compatibilidad de espionaje DHCP para el grupo.
[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# set allow-snooped-clients
Vuelva al nivel de
[edit forwarding-options dhcp-relay]
jerarquía para configurar la acción de reenvío y especifique que el agente de retransmisión DHCP reenvíe los paquetes fisgones solo en las interfaces configuradas:[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# up 2
Habilite el reenvío de paquetes DHCP snooped para el agente de retransmisión DHCP.
[edit forwarding-options dhcp-relay] user@host# edit forward-snooped-clients
Especifique que los paquetes esnifados se reenvíen solo en interfaces configuradas (las interfaces del grupo
frankfurt
).[edit forwarding-options dhcp-relay forward-snooped-clients] user@host# set configured-interfaces
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show forwarding-options
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla. El siguiente resultado también muestra un rango de interfaces configuradas en el grupo frankfurt.
[edit] user@host# show forwarding-options dhcp-relay { forward-snooped-clients configured-interfaces; group frankfurt { overrides { allow-snooped-clients; } interface fe-1/0/1.3 { upto fe-1/0/1.9; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de la compatibilidad de reenvío de paquetes espías DHCP para el agente de retransmisión DHCP
Puede configurar la forma en que el agente de retransmisión DHCP gestiona los paquetes DHCP espiados. Según la configuración, el agente de retransmisión DHCP reenvía o descarta los paquetes fisgones que recibe.
La retransmisión DHCP utiliza una configuración de dos partes para determinar cómo manejar los paquetes espía DHCP. En este tema se describe cómo se utiliza la instrucción para administrar si el forward-snooped-clients
agente de retransmisión DHCP reenvía o descarta paquetes espiados, según el tipo de interfaz en la que se espían los paquetes. En la otra parte de la configuración de espionaje del agente de retransmisión DHCP, habilite o deshabilite la característica de espionaje de retransmisión DHCP.
La Tabla 1 muestra la acción que el enrutador o conmutador realiza en los paquetes fisgones cuando la instrucción habilita la allow-snooped-clients
supervisión DHCP.
El enrutador o conmutador también utiliza la configuración de la compatibilidad de reenvío del agente de retransmisión DHCP para determinar cómo manejar los paquetes BOOTREPLY espiados.
forward-snooped-clients Configuración |
Acción en interfaces configuradas |
Acción en interfaces no configuradas |
---|---|---|
|
los paquetes espiados dan como resultado la creación de suscriptores (cliente DHCP) |
Cayó |
|
Reenviado |
Reenviado |
|
Reenviado |
Cayó |
|
los paquetes espiados dan como resultado la creación de suscriptores (cliente DHCP) |
Reenviado |
La Tabla 2 muestra la acción que el enrutador (o conmutador) realiza en los paquetes fisgones cuando la instrucción deshabilita el no-allow-snooped-clients
espionaje DHCP.
forward-snooped-clients Configuración |
Acción en interfaces configuradas |
Acción en interfaces no configuradas |
---|---|---|
|
Cayó |
Cayó |
|
Cayó |
Reenviado |
|
Cayó |
Cayó |
|
Cayó |
Reenviado |
La Tabla 3 muestra la acción que el enrutador (o conmutador) realiza para los paquetes BOOTREPLY espiados.
forward-snooped-clients Configuración |
Acción |
---|---|
|
Paquetes ignorados BOOTREPLY caídos si no se encuentra el cliente |
|
Paquetes esnifados BOOTREPLY reenviados si no se encuentra el cliente |
Las interfaces configuradas se han configurado con la group
instrucción en la [edit forwarding-options dhcp-relay]
jerarquía. Las interfaces no configuradas se encuentran en el sistema lógico/instancia de enrutamiento, pero no han sido configuradas por la group
instrucción.
Para configurar el reenvío de paquetes espía DHCP y el reenvío de paquetes snooped BOOTREPLY para el agente de retransmisión DHCP:
Por ejemplo, para configurar el agente de retransmisión DHCP para reenviar paquetes DHCP espeados solo en interfaces configuradas:
[edit] forwarding-options { dhcp-relay { forward-snooped-clients configured-interfaces; } }