Port Security DHCP snooping Junos
07.02 2024 | by massimilianoDHCP snooping è una tecnica di sicurezza che previene eventuali attacchi/vulnerabilità da Rogue DHCP server via DoS attack. Questa tecnica […]
DHCP snooping è una tecnica di sicurezza che previene eventuali attacchi/vulnerabilità da Rogue DHCP server via DoS attack.
Questa tecnica costruisce e mantiene un database di indirizzi IP validi assegnati per mezzo di un server DHCP trust. DHCP snooping permette di leggere queste informazioni di leasing e costruire questa mappatura tra IP address, MAC address e Vlan associata.
DHCP snooping, quindi, protegge lo switch andando ad ispezionare i DHCP packets sulle porte di tipo untrusted ed inoltre traccia un lease time (assegnato dal DHCP server trust) e smaltisce tutte le entries che sono eccedute da tale valore temporale.
DHCP snooping include il DHCP option 82 (DHCP relay agent), il quale aiuta nella protezione di uno switch contro attacchi di tipo spoofing di IP addresses e MAC addresses.
E’ possibile abilitare DHCP option 82 per una singola vlan oppure per tutte le vlans in uno switch; inoltre è possibile configurare un layer 3 interface (IRB/RVI) quando lo switch ha ruolo di Relay Agent.
La serie EX switches implementa DHCP option 82 con tre sotto-option:
Circuit-ID: questa opzione identifica il circuito (interface, vlan, entrambe = ge-0/0/6:vlan1 ad esempio) dove la richiesta è stata ricevuta; in caso la richiesta arriva al livello 3 (ip address) il circuit-id si presenta solo con il nome della interfaccia (ge-0/0/6)
Remote-ID: questa opzione identifica un host; di default il remote-id è l’indirizzo MAC dello switch ma è possibile definirlo come hostname dello switch oppure la description interface oppure con un testo scelto.
Vendor-ID: questa opzione identifica il vendor di un host; il valore di default = Juniper.
DHCP snooping process:
Client sends DHCPDISCOVER or DHCPREQUEST
Switch snoops packet and updates snooping database
Switch forwards DHCPDISCOVER or DHCPREQUEST
Server sends DHCPOFFER, DHCPPACK or DHCPNAK
Switch snoops packet and updateds snooping database
Switch forward DHCPOFFER, DHCPPACK or DHCPNAK
DHCP Snooping example configuration
set ethernet-switching-options secure-access-port interface ge-0/0/6.0 no-dhcp-trusted # proibisce la porta dal ricevere DHCP Server traffic (default settings per access port
set ethernet-switching-options secure-access-port interface ge-0/0/7.0 dhcp-trusted # permette di ricevere DHCP Server traffic
set ethernet-switching-options secure-access-port vlan default examine-dhcp #abilita DHCP snooping per vlan-specified
!
set ethernet-switching-option secure-access-port dhcp-snooping-file location /var/tmp/snoop-dawg-n-co;
set ethernet-switching-option secure-access-port dhcp-snooping-file write-interval 60;
JunOS richiede di settare un path di location dove le entries vengono loggate con un intervallo definito dal write-interval.
Per verificarne il contenuto DHCP snooping file, si usa il «file show» command, seguito dalla stringa del path
Esempio:
edit ethernet-switching-option
run file show /var/tmp/snoop-dawg-n-co
Per le statistiche:
run show dhcp snooping statistics
Per monitorare:
show dhcp snooping binding
Per pulire il DHCP snooping database, si possono eseguire i seguenti comandi:
clear dhcp snooping binding # clear di tutte le entries
clear dhcp snooping binding vlan <vlanid> # clear entries for specified vlan
clear dhcp snooping binding vlan <vlanid> mac <mac_address> # clear rntry for specified mac-address
Per aggiungere una specifica entry:
set ethernet-switching-options secure-access-port interface ge-0/0/6.0 static-ip 192.168.1.4 vlan default mac 00:26:88:02:74:89;
set ethernet-switching-options secure-access-port vlan default examine-dhcp;