Port Security DHCP snooping Junos

Home » Blog » Configuration Template » Juniper » Port Security DHCP snooping Junos

Port Security DHCP snooping Junos

07.02 2024 | by massimiliano

DHCP snooping è una tecnica di sicurezza che previene eventuali attacchi/vulnerabilità da Rogue DHCP server via DoS attack. Questa tecnica […]



DHCP snooping è una tecnica di sicurezza che previene eventuali attacchi/vulnerabilità da Rogue DHCP server via DoS attack.

Questa tecnica costruisce e mantiene un database di indirizzi IP validi assegnati per mezzo di un server DHCP trust. DHCP snooping permette di leggere queste informazioni di leasing e costruire questa mappatura tra IP address, MAC address e Vlan associata.

DHCP snooping, quindi, protegge lo switch andando ad ispezionare i DHCP packets sulle porte di tipo untrusted ed inoltre traccia un lease time (assegnato dal DHCP server trust) e smaltisce tutte le entries che sono eccedute da tale valore temporale.

DHCP snooping include il DHCP option 82 (DHCP relay agent), il quale aiuta nella protezione di uno switch contro attacchi di tipo spoofing di IP addresses e MAC addresses.

E’ possibile abilitare DHCP option 82 per una singola vlan oppure per tutte le vlans in uno switch; inoltre è possibile configurare un layer 3 interface (IRB/RVI) quando lo switch ha ruolo di Relay Agent.

La serie EX switches implementa DHCP option 82 con tre sotto-option:

Circuit-ID: questa opzione identifica il circuito (interface, vlan, entrambe = ge-0/0/6:vlan1 ad esempio) dove la richiesta è stata ricevuta; in caso la richiesta arriva al livello 3 (ip address) il circuit-id si presenta solo con il nome della interfaccia (ge-0/0/6)

Remote-ID: questa opzione identifica un host; di default il remote-id è l’indirizzo MAC dello switch ma è possibile definirlo come hostname dello switch oppure la description interface oppure con un testo scelto.

Vendor-ID: questa opzione identifica il vendor di un host; il valore di default = Juniper.

DHCP snooping process:

Client sends DHCPDISCOVER or DHCPREQUEST

Switch snoops packet and updates snooping database

Switch forwards DHCPDISCOVER or DHCPREQUEST

Server sends DHCPOFFER, DHCPPACK or DHCPNAK

Switch snoops packet and updateds snooping database

Switch forward DHCPOFFER, DHCPPACK or DHCPNAK

DHCP Snooping example configuration

set ethernet-switching-options secure-access-port interface ge-0/0/6.0 no-dhcp-trusted   # proibisce la porta dal ricevere DHCP Server traffic (default settings per access port

set ethernet-switching-options secure-access-port interface ge-0/0/7.0 dhcp-trusted  # permette di ricevere DHCP Server traffic

set ethernet-switching-options secure-access-port vlan default examine-dhcp  #abilita DHCP snooping per vlan-specified

!

set ethernet-switching-option secure-access-port dhcp-snooping-file location /var/tmp/snoop-dawg-n-co;

set ethernet-switching-option secure-access-port dhcp-snooping-file write-interval 60;

JunOS richiede di settare un path di location dove le entries vengono loggate con un intervallo definito dal write-interval.

Per verificarne il contenuto DHCP snooping file, si usa il «file show» command, seguito dalla stringa del path

Esempio:

edit ethernet-switching-option

run file show /var/tmp/snoop-dawg-n-co

Per le statistiche:

run show dhcp snooping statistics

Per monitorare:

show dhcp snooping binding

Per pulire il DHCP snooping database, si possono eseguire i seguenti comandi:

clear dhcp snooping binding  # clear di tutte le entries

clear dhcp snooping binding vlan <vlanid>  # clear entries for specified vlan

clear dhcp snooping binding vlan <vlanid> mac <mac_address>   # clear rntry for specified mac-address

Per aggiungere una specifica entry:

set ethernet-switching-options secure-access-port interface ge-0/0/6.0 static-ip 192.168.1.4 vlan default mac 00:26:88:02:74:89;

set ethernet-switching-options secure-access-port vlan default examine-dhcp;

Torna in alto