Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: configuração do ip source guard e inspeção dinâmica de ARP em um domínio de ponte especificado para proteger os dispositivos contra ataques

Este exemplo descreve como habilitar o proteção de origem IP e a inspeção dinâmica de ARP (DAI) em um domínio de ponte especificado para proteger o dispositivo contra endereços IP/MAC falsificados e ataques spoofing de ARP. Quando você ativa o proteção de origem IP ou o DAI, a configuração permite a espionagem de DHCP para o mesmo domínio de ponte.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um roteador da Série MX

  • Versão Junos OS 14.1

  • Um servidor DHCP para fornecer endereços IP a dispositivos de rede no dispositivo

Antes de configurar o proteção de origem IP para evitar spoofing ip/MAC ou DAI para mitigar ataques de spoofing de ARP, certifique-se de ter:

Visão geral e topologia

Os dispositivos LAN Ethernet são vulneráveis a ataques de segurança que envolvem spoofing (forjação) de endereços MAC de origem ou endereços IP de origem. Esses pacotes falsificados são enviados de hosts conectados a interfaces de acesso não confiáveis no dispositivo. O proteção de origem IP verifica o endereço de origem IP e o endereço de origem MAC em um pacote enviado de um host anexado a uma interface de acesso não confiável no dispositivo contra entradas armazenadas no banco de dados de espionagem DHCP. Se o proteção de origem IP determinar que o cabeçalho do pacote contém um endereço IP de origem inválido ou endereço MAC de origem, ele garante que o dispositivo não encaminhe o pacote — ou seja, o pacote é descartado.

Outro tipo de ataque de segurança é a spoofing de ARP (também conhecida como envenenamento por ARP ou envenenamento por cache ARP). A spoofing de ARP é uma maneira de iniciar ataques de homem no meio. O invasor envia um pacote ARP que falsifica o endereço MAC de outro dispositivo no domínio da ponte. Em vez de o dispositivo enviar tráfego para o dispositivo de rede adequado, ele o envia para o dispositivo com o endereço falsificado que está se passando pelo dispositivo adequado. Se o dispositivo de representação for a máquina do invasor, o invasor receberá todo o tráfego do dispositivo que deveria ter ido para outro dispositivo. O resultado é que o tráfego do dispositivo está mal direcionado e não pode chegar ao seu destino adequado.

Nota:

Quando o DAI é habilitado, o dispositivo registra o número de pacotes ARP inválidos que recebe em cada interface, juntamente com os endereços IP e MAC do remetente. Você pode usar essas mensagens de log para descobrir a spoofing de ARP na rede.

Este exemplo mostra como configurar esses importantes recursos de segurança de porta em um dispositivo conectado a um servidor DHCP. A configuração para este exemplo inclui o domínio employee-bdomain bridge no dispositivo de comutação. A Figura 1 ilustra a topologia para este exemplo.

Nota:

A interface do tronco que se conecta à interface de servidor DHCP é uma porta confiável por padrão.

Topologia

Figura 1: Topologia de rede de dispositivos de comutação para segurança Switching Device Network Topology for Basic Port Security básica de porta

Os componentes da topologia para este exemplo são mostrados na Tabela 1.

Tabela 1: Componentes da topologia de segurança de portas
Configurações de propriedades

Hardware do dispositivo

Um roteador da Série MX

Nome de domínio da ponte e ID

employee-bdomainetiqueta 20

Sub-redes de domínio de ponte

192.0.2.16/28192.0.2.17 através 192.0.2.30192.0.2.31 é o endereço de transmissão da sub-rede

Interfaces em employee-bdomain

ge-0/0/1, , ge-0/0/2ge-0/0/3ge-0/0/8

Interface conectada ao servidor DHCP

ge-0/0/8

Neste exemplo, o dispositivo já foi configurado da seguinte forma:

  • Todas as portas de acesso não são confiáveis, que é a configuração padrão.

  • A porta-tronco (ge-0/0/8) é confiável, que é a configuração padrão.

  • O domínio de ponte (employee-bdomain) foi configurado para incluir as interfaces especificadas.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente o proteção de origem IP e o DAI (e, assim, também configurar automaticamente a espionagem DHCP para proteger o dispositivo contra spoofing ip e ataques ARP), copie os seguintes comandos e cole-os na janela terminal do dispositivo:

Procedimento passo a passo

Para configurar o proteção de origem IP e o DAI (e, assim, também configurar automaticamente a espionagem DHCP) no domínio da ponte:

  1. Configure o proteção de origem IP no domínio da ponte:

  2. Habilite o DAI no domínio da ponte:

Resultados

Confira os resultados da configuração:

Verificação

Confirme se a configuração está funcionando corretamente.

Verificar se a espionagem do DHCP está funcionando corretamente no dispositivo

Propósito

Verifique se a espionagem de DHCP está funcionando no dispositivo.

Ação

Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao dispositivo.

Exibir as informações de espionagem dhcp quando a porta em que o servidor DHCP se conecta ao dispositivo é confiável. Os resultados de saída a seguir são quando as solicitações são enviadas dos endereços MAC e o servidor fornece os endereços IP e leasings:

Significado

Quando a interface em que o servidor DHCP se conecta ao dispositivo foi definida como confiável, a saída (veja a amostra anterior) mostra, para o endereço IP atribuído, o endereço MAC do dispositivo, o nome VLAN e o tempo, em segundos, permanecendo antes que o leasing expira.

Verificar se a proteção de origem IP está funcionando no domínio da ponte

Propósito

Verifique se o proteção de origem IP está habilitado e trabalhando no domínio da ponte.

Ação

Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao dispositivo. Veja as informações de proteção de origem IP para o domínio da ponte de dados.

Significado

A tabela de banco de dados do proteção de origem IP contém os domínios VLANS e bridge habilitados para o proteção de origem IP.

Verificar se a DAI está funcionando corretamente no dispositivo

Propósito

Verifique se a DAI está funcionando no dispositivo.

Ação

Envie algumas solicitações de ARP de dispositivos de rede conectados ao dispositivo.

Exibir as informações da DAI:

Significado

A saída de amostra mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O dispositivo compara as solicitações de ARP e as respostas com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados, o pacote será descartado.