NESTA PÁGINA
Exemplo: configuração do ip source guard e inspeção dinâmica de ARP em um domínio de ponte especificado para proteger os dispositivos contra ataques
Este exemplo descreve como habilitar o proteção de origem IP e a inspeção dinâmica de ARP (DAI) em um domínio de ponte especificado para proteger o dispositivo contra endereços IP/MAC falsificados e ataques spoofing de ARP. Quando você ativa o proteção de origem IP ou o DAI, a configuração permite a espionagem de DHCP para o mesmo domínio de ponte.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um roteador da Série MX
Versão Junos OS 14.1
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no dispositivo
Antes de configurar o proteção de origem IP para evitar spoofing ip/MAC ou DAI para mitigar ataques de spoofing de ARP, certifique-se de ter:
Conectou o servidor DHCP ao dispositivo.
Configure o domínio de ponte ao qual você está adicionando recursos de segurança DHCP. Veja a configuração do domínio da ponte para os serviços de CPE de nuvem do roteador da Série MX.
Visão geral e topologia
Os dispositivos LAN Ethernet são vulneráveis a ataques de segurança que envolvem spoofing (forjação) de endereços MAC de origem ou endereços IP de origem. Esses pacotes falsificados são enviados de hosts conectados a interfaces de acesso não confiáveis no dispositivo. O proteção de origem IP verifica o endereço de origem IP e o endereço de origem MAC em um pacote enviado de um host anexado a uma interface de acesso não confiável no dispositivo contra entradas armazenadas no banco de dados de espionagem DHCP. Se o proteção de origem IP determinar que o cabeçalho do pacote contém um endereço IP de origem inválido ou endereço MAC de origem, ele garante que o dispositivo não encaminhe o pacote — ou seja, o pacote é descartado.
Outro tipo de ataque de segurança é a spoofing de ARP (também conhecida como envenenamento por ARP ou envenenamento por cache ARP). A spoofing de ARP é uma maneira de iniciar ataques de homem no meio. O invasor envia um pacote ARP que falsifica o endereço MAC de outro dispositivo no domínio da ponte. Em vez de o dispositivo enviar tráfego para o dispositivo de rede adequado, ele o envia para o dispositivo com o endereço falsificado que está se passando pelo dispositivo adequado. Se o dispositivo de representação for a máquina do invasor, o invasor receberá todo o tráfego do dispositivo que deveria ter ido para outro dispositivo. O resultado é que o tráfego do dispositivo está mal direcionado e não pode chegar ao seu destino adequado.
Quando o DAI é habilitado, o dispositivo registra o número de pacotes ARP inválidos que recebe em cada interface, juntamente com os endereços IP e MAC do remetente. Você pode usar essas mensagens de log para descobrir a spoofing de ARP na rede.
Este exemplo mostra como configurar esses importantes recursos de segurança de porta em um dispositivo conectado a um servidor DHCP. A configuração para este exemplo inclui o domínio employee-bdomain
bridge no dispositivo de comutação. A Figura 1 ilustra a topologia para este exemplo.
A interface do tronco que se conecta à interface de servidor DHCP é uma porta confiável por padrão.
Topologia

Os componentes da topologia para este exemplo são mostrados na Tabela 1.
Configurações de propriedades | |
---|---|
Hardware do dispositivo |
Um roteador da Série MX |
Nome de domínio da ponte e ID |
|
Sub-redes de domínio de ponte |
|
Interfaces em |
|
Interface conectada ao servidor DHCP |
|
Neste exemplo, o dispositivo já foi configurado da seguinte forma:
Todas as portas de acesso não são confiáveis, que é a configuração padrão.
A porta-tronco (ge-0/0/8) é confiável, que é a configuração padrão.
O domínio de ponte (
employee-bdomain
) foi configurado para incluir as interfaces especificadas.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o proteção de origem IP e o DAI (e, assim, também configurar automaticamente a espionagem DHCP para proteger o dispositivo contra spoofing ip e ataques ARP), copie os seguintes comandos e cole-os na janela terminal do dispositivo:
[edit] set bridge-domains employee-bdomain forwarding-options dhcp-security ip-source-guard set bridge-domains employee-bdomain forwarding-options dhcp-security arp-inspection
Procedimento passo a passo
Para configurar o proteção de origem IP e o DAI (e, assim, também configurar automaticamente a espionagem DHCP) no domínio da ponte:
Configure o proteção de origem IP no domínio da ponte:
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set ip-source-guard
Habilite o DAI no domínio da ponte:
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set arp-inspection
Resultados
Confira os resultados da configuração:
user@device> show bridge-domains employee-bdomain forwarding-options employee-bdomain { forwarding-options { dhcp-security { arp-inspection; ip-source-guard; } } }
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificar se a espionagem do DHCP está funcionando corretamente no dispositivo
- Verificar se a proteção de origem IP está funcionando no domínio da ponte
- Verificar se a DAI está funcionando corretamente no dispositivo
Verificar se a espionagem do DHCP está funcionando corretamente no dispositivo
Propósito
Verifique se a espionagem de DHCP está funcionando no dispositivo.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao dispositivo.
Exibir as informações de espionagem dhcp quando a porta em que o servidor DHCP se conecta ao dispositivo é confiável. Os resultados de saída a seguir são quando as solicitações são enviadas dos endereços MAC e o servidor fornece os endereços IP e leasings:
user@device> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Significado
Quando a interface em que o servidor DHCP se conecta ao dispositivo foi definida como confiável, a saída (veja a amostra anterior) mostra, para o endereço IP atribuído, o endereço MAC do dispositivo, o nome VLAN e o tempo, em segundos, permanecendo antes que o leasing expira.
Verificar se a proteção de origem IP está funcionando no domínio da ponte
Propósito
Verifique se o proteção de origem IP está habilitado e trabalhando no domínio da ponte.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao dispositivo. Veja as informações de proteção de origem IP para o domínio da ponte de dados.
user@device> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Significado
A tabela de banco de dados do proteção de origem IP contém os domínios VLANS e bridge habilitados para o proteção de origem IP.
Verificar se a DAI está funcionando corretamente no dispositivo
Propósito
Verifique se a DAI está funcionando no dispositivo.
Ação
Envie algumas solicitações de ARP de dispositivos de rede conectados ao dispositivo.
Exibir as informações da DAI:
user@device> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
A saída de amostra mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O dispositivo compara as solicitações de ARP e as respostas com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados, o pacote será descartado.