Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: configurar a proteção de origem ip e a inspeção dinâmica de ARP para proteger o switch contra spoofing de IP e spoofing de ARP

Nota:

Este exemplo usa o Junos OS com suporte para o estilo de configuração de software de camada 2 (ELS) aprimorado. Se o seu switch executar um software que não oferece suporte ao ELS, veja exemplo: Proteção contra ataques spoofing de ARP. Para obter detalhes do ELS, consulte o uso da CLI aprimorada de software de Camada 2.

Nota:

Nos switches EX9200, a espionagem DHCP, o DAI e o proteção de origem IP não são suportados em um cenário MC-LAG.

Este exemplo descreve como habilitar a proteção de origem ip e a inspeção dinâmica de ARP (DAI) em um VLAN especificado para proteger o switch contra endereços IP/MAC falsificados e ataques de spoofing ARP. Quando você habilita o proteção de origem IP ou o DAI, a configuração permite automaticamente a espionagem DHCP para o mesmo VLAN.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

Nota:

Esse exemplo também se aplica aos switches QFX5100, QFX5110 e QFX5200.

  • Um switch EX4300 ou EX9200

  • Junos OS Versão 13.2X50-D10 ou posterior para switches da Série EX

  • Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch

Antes de configurar o proteção de origem IP para evitar spoofing de IP/MAC ou DAI para mitigar ataques de spoofing de ARP, certifique-se de ter:

  • Conectou o servidor DHCP ao switch.

  • Configure a VLAN à qual você está adicionando recursos de segurança DHCP.

Visão geral e topologia

Os switches Ethernet LAN são vulneráveis a ataques à segurança que envolvem spoofing (forja) de endereços MAC de origem ou endereços IP de origem. Esses pacotes falsificados são enviados de hosts conectados a interfaces de acesso não confiáveis no switch. Esses pacotes falsificados são enviados de hosts conectados a interfaces de acesso não confiáveis no switch. O proteção de origem IP verifica o endereço de origem IP e o endereço de origem MAC em um pacote enviado de um host conectado a uma interface de acesso não confiável no switch contra entradas armazenadas no banco de dados de espionagem DHCP. Se o proteção de origem IP determinar que o cabeçalho do pacote contém um endereço IP de origem inválido ou endereço MAC de origem, ele garante que o switch não encaminhe o pacote — ou seja, o pacote é descartado.

Outro tipo de ataque de segurança é a spoofing de ARP (também conhecida como envenenamento por ARP ou envenenamento por cache ARP). A ARP-spoofing é uma maneira de iniciar ataques de homem no meio. O invasor envia um pacote ARP que falsifica o endereço MAC de outro dispositivo na LAN. Em vez de o switch enviar tráfego para o dispositivo de rede adequado, ele o envia para o dispositivo com o endereço falsificado que está se passando pelo dispositivo adequado. Se o dispositivo de imitação for a máquina do invasor, o invasor receberá todo o tráfego do switch que deveria ter ido para outro dispositivo. O resultado é que o tráfego do switch está mal direcionado e não pode chegar ao seu destino adequado.

Nota:

Quando a inspeção dinâmica de ARP (DAI) é ativada, o switch registra o número de pacotes ARP inválidos que recebe em cada interface, juntamente com os endereços IP e MAC do remetente. Você pode usar essas mensagens de log para descobrir a falsificação de ARP na rede.

Este exemplo mostra como configurar esses importantes recursos de segurança de porta em um switch conectado a um servidor DHCP. A configuração deste exemplo inclui o VLAN employee-vlan no switch. A Figura 1 ilustra a topologia deste exemplo.

Nota:

A interface do tronco que se conecta à interface do servidor DHCP é uma porta confiável por padrão. Se você anexar um servidor DHCP a uma porta de acesso, você deve configurar a porta como confiável. Antes disso, garanta que o servidor esteja fisicamente seguro, ou seja, que o acesso ao servidor seja monitorado e controlado. Para obter mais informações sobre portas confiáveis e não confiáveis para DHCP, consulte a compreensão e o uso de servidores DHCP confiáveis.

Topologia

Figura 1: Topologia de rede para segurança Network Topology for Basic Port Security de porta básica

Os componentes da topologia para este exemplo são mostrados na Tabela 1.

Tabela 1: Componentes da topologia de segurança de portas
Configurações de propriedades

Hardware do switch

Um switch EX4300 ou EX9200

Nome e ID da VLAN

employee-vlanTag 20

Sub-redes VLAN

192.0.2.16/28192.0.2.17 Através 192.0.2.30192.0.2.31 é o endereço de transmissão da sub-rede

Interfaces em employee-vlan

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

Interface conectada ao servidor DHCP

ge-0/0/8

Neste exemplo, o switch já foi configurado da seguinte forma:

  • Todas as portas de acesso não são confiáveis, que é a configuração padrão.

  • A porta do tronco (ge-0/0/8) é confiável, que é a configuração padrão.

  • O VLAN (employee-vlan) foi configurado para incluir as interfaces especificadas.

Configuração

Configurar a proteção de origem IP e o DAI (e, assim, configurar automaticamente a espionagem DHCP) para proteger o switch contra spoofing de IP e ataques ARP:

Procedimento

Configuração rápida da CLI

Para configurar rapidamente a proteção de origem IP e o DAI (e, assim, também configurar automaticamente a espionagem DHCP), copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Configure a proteção de origem IP e o DAI (e, assim, configure automaticamente a espionagem DHCP) no VLAN:

  1. Configure a proteção de origem IP na VLAN:

  2. Habilite o DAI na VLAN:

Resultados

Confira os resultados da configuração:

Verificação

Confirme que a configuração está funcionando corretamente.

Verificar se o DHCP Snooping está funcionando corretamente no switch

Propósito

Verifique se a espionagem do DHCP está funcionando no switch.

Ação

Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.

Exibir as informações de espionagem DHCP quando a porta em que o servidor DHCP se conecta ao switch é confiável. Os resultados de saída a seguir quando as solicitações são enviadas dos endereços MAC e o servidor forneceu os endereços IP e leasings:

Significado

Quando a interface na qual o servidor DHCP se conecta ao switch foi definida como confiável, a saída (veja amostra anterior) mostra, para o endereço IP atribuído, o endereço MAC do dispositivo, o nome VLAN e o tempo, em segundos, permanecendo antes do término do contrato de locação.

Verificar se a proteção de origem ip está funcionando no VLAN

Propósito

Verifique se o proteção de origem IP está habilitado e funcionando na VLAN.

Ação

Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch. Veja as informações de proteção de origem IP para os dados VLAN.

Significado

A tabela de banco de dados de proteção de origem IP contém as VLANs habilitadas para proteção de origem IP.

Verificando se o DAI está funcionando corretamente no switch

Propósito

Verifique se a DAI está funcionando no switch.

Ação

Envie algumas solicitações de ARP de dispositivos de rede conectados ao switch.

Exibir as informações do DAI:

Significado

A saída de amostra mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O switch compara as solicitações de ARP e as respostas com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não combinar com uma entrada válida no banco de dados, o pacote será descartado.