NESTA PÁGINA
Exemplo: configuração do IP Source Guard e inspeção dinâmica de ARP para proteger o switch contra spoofing ip e spoofing de ARP
Este exemplo usa o Junos OS com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, veja Exemplo: Protegendo contra ataques Spoofing ARP. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Nos switches EX9200, o snooping DHCP, DAI e o proteção de origem IP não são suportados em um cenário MC-LAG.
Este exemplo descreve como habilitar o proteção de origem IP e a inspeção dinâmica de ARP (DAI) em um VLAN especificado para proteger o switch contra endereços IP/MAC falsificados e ataques spoofing de ARP. Quando você ativa o proteção de origem IP ou o DAI, a configuração permite a espionagem de DHCP automaticamente para o mesmo VLAN.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Esse exemplo também se aplica a switches de QFX5100, QFX5110 e QFX5200.
Um switch EX4300 ou EX9200
Junos OS Versão 13.2X50-D10 ou posterior para switches da Série EX
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Antes de configurar o proteção de origem IP para evitar spoofing ip/MAC ou DAI para mitigar ataques de spoofing de ARP, certifique-se de ter:
Conectou o servidor DHCP ao switch.
Configure a VLAN à qual você está adicionando recursos de segurança DHCP.
Visão geral e topologia
Os switches LAN Ethernet são vulneráveis a ataques de segurança que envolvem spoofing (forjação) de endereços MAC de origem ou endereços IP de origem. Esses pacotes falsificados são enviados de hosts conectados a interfaces de acesso não confiáveis no switch. Esses pacotes falsificados são enviados de hosts conectados a interfaces de acesso não confiáveis no switch. O proteção de origem IP verifica o endereço de origem IP e o endereço de origem MAC em um pacote enviado de um host anexado a uma interface de acesso não confiável no switch contra entradas armazenadas no banco de dados de espionagem DHCP. Se o proteção de origem IP determinar que o cabeçalho do pacote contém um endereço IP de origem inválido ou endereço MAC de origem, ele garante que o switch não encaminhe o pacote — ou seja, o pacote é descartado.
Outro tipo de ataque de segurança é a spoofing de ARP (também conhecida como envenenamento por ARP ou envenenamento por cache ARP). A spoofing de ARP é uma maneira de iniciar ataques de homem no meio. O invasor envia um pacote ARP que falsifica o endereço MAC de outro dispositivo na LAN. Em vez do switch enviar tráfego para o dispositivo de rede adequado, ele o envia para o dispositivo com o endereço falsificado que está se passando pelo dispositivo adequado. Se o dispositivo de personificação for a máquina do invasor, o invasor recebe todo o tráfego do switch que deveria ter ido para outro dispositivo. O resultado é que o tráfego do switch está mal direcionado e não pode chegar ao seu destino adequado.
Quando a inspeção dinâmica de ARP (DAI) é habilitada, o switch registra o número de pacotes ARP inválidos que recebe em cada interface, juntamente com os endereços IP e MAC do remetente. Você pode usar essas mensagens de log para descobrir a spoofing de ARP na rede.
Este exemplo mostra como configurar esses importantes recursos de segurança de porta em um switch conectado a um servidor DHCP. A configuração para este exemplo inclui a VLAN employee-vlan no switch. A Figura 1 ilustra a topologia para este exemplo.
A interface do tronco que se conecta à interface de servidor DHCP é uma porta confiável por padrão. Se você anexar um servidor DHCP a uma porta de acesso, você deve configurar a porta como confiável. Antes disso, certifique-se de que o servidor esteja fisicamente seguro — ou seja, que o acesso ao servidor seja monitorado e controlado. Para obter mais informações sobre portas confiáveis e não confiáveis para DHCP, consulte Entender e usar servidores DHCP confiáveis.
Topologia
básica de portas
Os componentes da topologia para este exemplo são mostrados na Tabela 1.
| Configurações de propriedades | |
|---|---|
Hardware do switch |
Um switch EX4300 ou EX9200 |
Nome e ID da VLAN |
|
|
|
Sub-redes VLAN |
|
Interfaces em |
|
Interface conectada ao servidor DHCP |
|
Neste exemplo, o switch já foi configurado da seguinte forma:
Todas as portas de acesso não são confiáveis, que é a configuração padrão.
A porta de tronco (
ge-0/0/8) é confiável, que é a configuração padrão.A VLAN (
employee-vlan) foi configurada para incluir as interfaces especificadas.
Configuração
Para configurar o proteção de origem IP e o DAI (e, assim, também configurar automaticamente a espionagem DHCP) para proteger o switch contra spoofing de IP e ataques de ARP:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o proteção de origem IP e o DAI (e, assim, também configurar automaticamente a espionagem DHCP), copie os seguintes comandos e cole-os na janela terminal do switch:
[edit] set vlans employee-vlan forwarding-options dhcp-security ip-source-guard set vlans employee-vlan forwarding-options dhcp-security arp-inspection
Procedimento passo a passo
Configure o proteção de origem IP e o DAI (e, assim, configure automaticamente a espionagem de DHCP) na VLAN:
Configure o proteção de origem IP na VLAN:
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set ip-source-guard
Habilite o DAI na VLAN:
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set arp-inspection
Resultados
Confira os resultados da configuração:
user@switch> show vlans employee-vlan forwarding-options
employee-vlan {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificar se a snooping do DHCP está funcionando corretamente no switch
- Verificar se o IP Source Guard está trabalhando na VLAN
- Verificar se a DAI está funcionando corretamente no switch
Verificar se a snooping do DHCP está funcionando corretamente no switch
Propósito
Verifique se a espionagem de DHCP está funcionando no switch.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.
Exibir as informações de espionagem dhcp quando a porta em que o servidor DHCP se conecta ao switch é confiável. Os resultados de saída a seguir são quando as solicitações são enviadas dos endereços MAC e o servidor fornece os endereços IP e leasings:
user@switch> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Significado
Quando a interface em que o servidor DHCP se conecta ao switch foi definida como confiável, a saída (veja amostra anterior) mostra, para o endereço IP atribuído, o endereço MAC do dispositivo, o nome VLAN e o tempo, em segundos, permanecendo antes que o leasing expira.
Verificar se o IP Source Guard está trabalhando na VLAN
Propósito
Verifique se o proteção de origem IP está habilitado e trabalhando na VLAN.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch. Veja as informações de proteção de origem IP para a VLAN de dados.
user@switch> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Significado
A tabela de banco de dados de proteção de origem IP contém as VLANs habilitadas para proteção de origem IP.
Verificar se a DAI está funcionando corretamente no switch
Propósito
Verifique se a DAI está funcionando no switch.
Ação
Envie algumas solicitações de ARP de dispositivos de rede conectados ao switch.
Exibir as informações da DAI:
user@switch> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
A saída de amostra mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O switch compara as solicitações de ARP e as respostas com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados, o pacote será descartado.