Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Compreensão e uso de inspeção dinâmica de ARP (DAI)

A inspeção dinâmica de ARP (DAI) protege dispositivos de comutação contra spoofing de pacotes do Address Resolution Protocol (ARP) (também conhecido como envenenamento por ARP ou envenenamento de cache ARP).

O DAI inspeciona ARPs na LAN e usa as informações no banco de dados de espionagem DHCP no switch para validar pacotes ARP e se proteger contra spoofing de ARP. As solicitações e respostas de ARP são comparadas com entradas no banco de dados de espionagem DHCP, e as decisões de filtragem são tomadas com base nos resultados dessas comparações. Quando um invasor tenta usar um pacote ARP forjado para falsificar um endereço, o switch compara o endereço com as entradas no banco de dados. Se o endereço de controle de acesso de mídia (MAC) ou o endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados de espionagem DHCP, o pacote é descartado

Entendendo a spoofing e inspeção de ARP

Os pacotes ARP são enviados ao Mecanismo de Roteamento e são limitados por taxa para proteger o dispositivo de comutação contra sobrecarga de CPU.

Protocolo de resolução de endereços

O envio de pacotes IP em uma rede multi-acesso requer o mapeamento de um endereço IP para um endereço MAC Ethernet.

As LANs de Ethernet usam ARP para mapear endereços MAC e endereços IP.

O dispositivo de comutação mantém esse mapeamento em um cache que consulta ao encaminhar pacotes para dispositivos de rede. Se o cache ARP não conter uma entrada para o dispositivo de destino, o host (o cliente DHCP) transmitirá uma solicitação de ARP para o endereço desse dispositivo e armazenará a resposta no cache.

ARP Spoofing

A spoofing de ARP é uma maneira de iniciar ataques man-in-the-middle. O invasor envia um pacote ARP que falsifica o endereço MAC de outro dispositivo na LAN. Em vez de o dispositivo de comutação enviar tráfego para o dispositivo de rede adequado, ele envia o tráfego para o dispositivo com o endereço falsificado que está personificando o dispositivo adequado. Se o dispositivo de representação for a máquina do invasor, o invasor recebe todo o tráfego do switch que deve ter ido para outro dispositivo. O resultado é que o tráfego do dispositivo de comutação está mal direcionado e não pode chegar ao seu destino adequado.

Um tipo de spoofing de ARP é o ARP gratuito, que é quando um dispositivo de rede envia uma solicitação de ARP para resolver seu próprio endereço IP. Na operação lan normal, mensagens ARP gratuitas indicam que dois dispositivos têm o mesmo endereço MAC. Eles também são transmitidos quando uma placa de interface de rede (NIC) em um dispositivo é alterada e o dispositivo é reiniciado, de modo que outros dispositivos na LAN atualizem seus caches ARP. Em situações maliciosas, um invasor pode envenenar o cache ARP de um dispositivo de rede enviando uma resposta ARP ao dispositivo que direciona todos os pacotes destinados a um determinado endereço IP para acessar um endereço MAC diferente.

Para evitar a falsificação de MAC por meio de ARP gratuito e por meio de outros tipos de spoofing, os switches examinam as respostas de ARP por meio do DAI.

Inspeção dinâmica de ARP

O DAI examina as solicitações e respostas de ARP na LAN e valida pacotes ARP. O switch intercepta pacotes ARP de uma porta de acesso e os valida no banco de dados de espionagem DHCP. Se nenhuma entrada IP-MAC no banco de dados corresponder às informações do pacote ARP, o DAI derruba o pacote ARP e o cache ARP local não for atualizado com as informações nesse pacote. O DAI também derruba pacotes ARP quando o endereço IP no pacote é inválido. Os pacotes de sonda ARP não estão sujeitos à inspeção dinâmica de ARP. O switch sempre encaminha esses pacotes.

O Junos OS para switches da Série EX e a Série QFX usa DAI para pacotes ARP recebidos em portas de acesso porque essas portas não são confiáveis por padrão. As portas de tronco são confiáveis por padrão e, portanto, os pacotes ARP ignoram o DAI neles.

Você configura o DAI para cada VLAN, não para cada interface (porta). Por padrão, o DAI é desativado para todas as VLANs.

Se você definir uma interface como uma porta confiável para DHCP, ela também é confiável para pacotes ARP.

Nota:
  • Se o seu dispositivo de comutação for um switch da Série EX e usar o Junos OS com suporte para o estilo de configuração de Software de Camada 2 (ELS) aprimorado, consulte Ativando um SERVIDOR DHCP (ELS) confiável para obter informações sobre a configuração de uma interface de acesso para ser uma porta de confiança DHCP.

Para pacotes direcionados ao dispositivo de comutação ao qual um dispositivo de rede está conectado, as consultas de ARP são transmitidas no VLAN. As respostas de ARP a essas consultas estão sujeitas à verificação da DAI.

Para o DAI, todos os pacotes ARP estão presos ao Mecanismo de Encaminhamento de Pacotes. Para evitar sobrecarga de CPU, os pacotes de ARP destinados ao Mecanismo de Roteamento são limitados por taxa.

Se o servidor DHCP diminuir e o tempo de locação de uma entrada IP-MAC para um pacote ARP anteriormente válido acabar, esse pacote será bloqueado.

Priorização de pacotes inspecionados

Nota:

Priorizar pacotes inspecionados não é suportado na Série QFX e no switch EX4600.

Você pode usar aulas e filas de encaminhamento de classe de serviço (CoS) para priorizar pacotes DAI para um VLAN especificado. Esse tipo de configuração coloca pacotes inspecionados para que o VLAN na fila de saída, que você especifique, garantindo que o procedimento de segurança não interfira na transmissão de tráfego de alta prioridade.

Ativação da inspeção dinâmica de ARP (ELS)

Nota:

Essa tarefa usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não aceita ELS, consulte ARP Inspection Dinâmico (não-ELS).

A inspeção dinâmica de ARP (DAI) protege os switches contra spoofing de ARP. O DAI inspeciona pacotes ARP na LAN e usa as informações no banco de dados de espionagem DHCP no switch para validar pacotes ARP e proteger contra o envenenamento de cache ARP.

Antes de habilitar a DAI em um VLAN, você deve configurar o VLAN. Consulte a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI).

Para habilitar o DAI em um VLAN usando o CLI:

Habilitação de inspeção dinâmica de ARP (não ELS)

Nota:

Essa tarefa usa o Junos OS para switches da Série EX que não oferecem suporte ao estilo de configuração do Software de Camada 2 (ELS). Se o seu switch executa um software que oferece suporte ao ELS, consulte o Enableing Dynamic ARP Inspection (ELS). Para obter detalhes do ELS, consulte usando o CLI de software de camada 2 aprimorado.

A inspeção dinâmica de ARP (DAI) protege os switches contra spoofing de ARP. O DAI inspeciona pacotes ARP na LAN e usa as informações no banco de dados de espionagem DHCP no switch para validar pacotes ARP e proteger contra o envenenamento de cache ARP.

Habilitação de DAI em um VLAN

Você configura o DAI para cada VLAN, não para cada interface (porta). Por padrão, o DAI é desativado para todas as VLANs.

Para habilitar o DAI em um VLAN ou todas as VLANs:

  • Em um único VLAN:

  • Em todas as VLANs:

Habilitação de DAI em um domínio de ponte

Consulte a configuração de um domínio de ponte para configurar um domínio de ponte, se necessário.

  • Para habilitar o DAI em um domínio de ponte:

Aplicar aulas de encaminhamento de COS para priorizar pacotes inspecionados

Você pode precisar usar a classe de serviço (CoS) para proteger pacotes de aplicativos críticos contra a queda durante períodos de congestionamento e atraso de rede, e você também pode precisar dos recursos de segurança da porta do DHCP bisbilhotando as mesmas portas através das quais esses pacotes críticos estão entrando e saindo.

Para aplicar aulas de encaminhamento de CoS e filas em pacotes DAI:

  1. Crie uma classe de encaminhamento definida pelo usuário para ser usada para priorizar pacotes DAI:
  2. Habilite o DAI em um VLAN específico ou em todas as VLANs e aplique a classe de encaminhamento desejada nos pacotes DAI:
    • Em um VLAN específico:

    • Em todas as VLANs:

Verificar se o DAI está funcionando corretamente

Propósito

Verifique se a inspeção dinâmica de ARP (DAI) está funcionando no switch.

Ação

Envie algumas solicitações de ARP de dispositivos de rede conectados ao switch.

Exibir as informações do DAI:

Significado

A saída de amostra mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O switch compara as solicitações de ARP e responde com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados, o pacote será descartado.