NESTA PÁGINA
Exemplo: Proteção contra ataques spoofing de ARP
Em um ataque spoofing de ARP, o invasor associa seu próprio endereço MAC com o endereço IP de um dispositivo de rede conectado ao switch. O tráfego destinado a esse endereço IP agora é enviado ao invasor em vez de ser enviado para o destino pretendido. O invasor pode enviar mensagens falsas ou "falsificadas", de ARP na LAN.
Quando a inspeção dinâmica de ARP (DAI) é habilitada, o switch registra o número de pacotes ARP inválidos que recebe em cada interface, juntamente com os endereços IP e MAC do remetente. Você pode usar essas mensagens de log para descobrir a spoofing de ARP na rede. Os pacotes de sondagem ARP não estão sujeitos à inspeção dinâmica de ARP. O switch sempre encaminha esses pacotes.
Este exemplo descreve como configurar a espionagem DHCP e a inspeção dinâmica de ARP (DAI), dois recursos de segurança de porta, para proteger o switch contra ataques spoofing de ARP:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX ou um switch QFX3500
Junos OS Versão 11.4 ou posterior para switches da Série EX ou Junos OS Versão 12.1 ou posterior para a Série QFX
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Antes de configurar a espionagem DHCP e o DAI (dois recursos de segurança de porta) para mitigar ataques de spoofing de ARP, certifique-se de ter:
Conectou o servidor DHCP ao switch.
Configurou uma VLAN no switch. Veja a tarefa para sua plataforma:
Visão geral e topologia
As LANs Ethernet são vulneráveis a ataques de spoofing e DoS em dispositivos de rede. Este exemplo descreve como proteger o switch contra um tipo comum de ataque, um ataque spoofing de ARP.
Em um ataque spoofing de ARP, o invasor envia mensagens falsas de ARP, criando assim vários tipos de problemas na LAN — por exemplo, o invasor pode lançar um ataque homem-no-meio.
Este exemplo mostra como configurar recursos de segurança de porta em um switch conectado a um servidor DHCP. A configuração para este exemplo inclui o VLAN employee-vlan no switch. O procedimento para criar essa VLAN é descrito no tópico Exemplo: Configuração de pontes com várias VLANs para switches da Série EX e exemplo: configuração de pontes com várias VLANs em switches para a Série QFX. Esse procedimento não se repete aqui. A Figura 1 ilustra a topologia para este exemplo.
Topologia
básica de portas
Os componentes da topologia para este exemplo são mostrados na Tabela 1.
| Configurações de propriedades | |
|---|---|
Hardware do switch |
Um ex3200-24P, 24 portas (8 portas PoE) ou um switch QFX3500 |
Nome e ID da VLAN |
funcionário-vlan, tag 20 |
Sub-redes VLAN |
192.0.2.16/28 192.0.2.17 a 192.0.2.30192.0.2.31 é o endereço de transmissão da sub-rede |
Interfaces em funcionários-vlan |
ge-0/0/1,ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Interface para servidor DHCP |
ge-0/0/8 |
Neste exemplo, o switch já foi configurado da seguinte forma:
O acesso seguro de porta é ativado no switch.
A espionagem dhcp é desabilitada no VLAN employee-vlan.
Todas as portas de acesso não são confiáveis, que é a configuração padrão.
Configuração
Para configurar a espionagem DHCP e a inspeção dinâmica de ARP (DAI) para proteger o switch contra ataques de ARP:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a espionagem DHCP e a inspeção dinâmica de ARP (DAI), copie os seguintes comandos e cole-os na janela terminal do switch:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted user@switch# set vlan employee-vlan examine-dhcp user@switch# set vlan employee-vlan arp-inspection
Procedimento passo a passo
Configure a espionagem DHCP e a inspeção dinâmica de ARP (DAI) na VLAN:
Definir a interface ge-0/0/8 como confiável:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
Habilite a espionagem do DHCP na VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
Habilite o DAI na VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Resultados
Confira os resultados da configuração:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection;
examine-dhcp;
}
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificar se a snooping do DHCP está funcionando corretamente no switch
- Verificar se a DAI está funcionando corretamente no switch
Verificar se a snooping do DHCP está funcionando corretamente no switch
Propósito
Verifique se a espionagem de DHCP está funcionando no switch.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.
Exibir as informações de espionagem dhcp quando a porta em que o servidor DHCP se conecta ao switch é confiável. Os resultados de saída a seguir são quando as solicitações são enviadas dos endereços MAC e o servidor fornece os endereços IP e leasings:
user@switch> show dhcp-snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee-vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee-vlan ge-0/0/3.0
Significado
Quando a interface em que o servidor DHCP se conecta ao switch foi definida como confiável, a saída (ver amostra anterior) mostra, para cada endereço MAC, o endereço IP atribuído e o tempo de locação — ou seja, o tempo, em segundos, permanecendo antes que o leasing expira.
Verificar se a DAI está funcionando corretamente no switch
Propósito
Verifique se a DAI está funcionando no switch.
Ação
Envie algumas solicitações de ARP de dispositivos de rede conectados ao switch.
Exibir as informações da DAI:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
A saída de amostra mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O switch compara as solicitações de ARP e as respostas com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados, o pacote será descartado.