Verstehen und Verwenden der dynamischen ARP-Inspektion (DAI)
Dynamic ARP Inspection (DAI) schützt Switching-Geräte vor ARP-Paket-Spoofing (auch bekannt als ARP-Poisoning oder ARP-Cache-Poisoning).
DAI überprüft ARPs im LAN und verwendet die Informationen in der DHCP-Snooping-Datenbank auf dem Switch, um ARP-Pakete zu validieren und vor ARP-Spoofing zu schützen. ARP-Anfragen und -Antworten werden mit Einträgen in der DHCP-Snooping-Datenbank verglichen, und Filterentscheidungen werden auf der Grundlage der Ergebnisse dieser Vergleiche getroffen. Wenn ein Angreifer versucht, ein gefälschtes ARP-Paket zu verwenden, um eine Adresse zu fälschen, vergleicht der Switch die Adresse mit Einträgen in der Datenbank. Wenn die MAC-Adresse (Media Access Control) oder IP-Adresse im ARP-Paket nicht mit einem gültigen Eintrag in der DHCP-Snooping-Datenbank übereinstimmt, wird das Paket verworfen
ARP-Spoofing und -Inspektion verstehen
ARP-Pakete werden an die Routing-Engine gesendet und sind ratenbegrenzt, um das Switching-Gerät vor CPU-Überlastung zu schützen.
Address Resolution Protocol
Das Senden von IP-Paketen in einem Multi-Access-Netzwerk erfordert die Zuordnung einer IP-Adresse zu einer Ethernet-MAC-Adresse.
Ethernet-LANs verwenden ARP, um MAC-Adressen IP-Adressen zuzuordnen.
Das Switching-Gerät verwaltet diese Zuordnung in einem Cache, den es beim Weiterleiten von Paketen an Netzwerkgeräte konsultiert. Wenn der ARP-Cache keinen Eintrag für das Zielgerät enthält, sendet der Host (der DHCP-Client) eine ARP-Anforderung für die Adresse dieses Geräts und speichert die Antwort im Cache.
ARP-Spoofing
ARP-Spoofing ist eine Möglichkeit, Man-in-the-Middle-Angriffe zu initiieren. Der Angreifer sendet ein ARP-Paket, das die MAC-Adresse eines anderen Geräts im LAN fälscht. Anstatt dass das Switching-Gerät Datenverkehr an das richtige Netzwerkgerät sendet, sendet es den Datenverkehr an das Gerät mit der gefälschten Adresse, das sich als das richtige Gerät ausgibt. Wenn es sich bei dem Gerät, das sich als Gerät ausgibt, um den Computer des Angreifers handelt, erhält der Angreifer den gesamten Datenverkehr vom Switch, der an ein anderes Gerät geflossen sein muss. Das Ergebnis ist, dass der Datenverkehr vom Switching-Gerät fehlgeleitet wird und sein richtiges Ziel nicht erreichen kann.
Eine Art von ARP-Spoofing ist das grundlose ARP, bei dem ein Netzwerkgerät eine ARP-Anfrage sendet, um seine eigene IP-Adresse aufzulösen. Im normalen LAN-Betrieb weisen unnötige ARP-Meldungen darauf hin, dass zwei Geräte dieselbe MAC-Adresse haben. Sie werden auch gesendet, wenn eine Netzwerkschnittstellenkarte (NIC) in einem Gerät geändert und das Gerät neu gestartet wird, sodass andere Geräte im LAN ihre ARP-Caches aktualisieren. In böswilligen Situationen kann ein Angreifer den ARP-Cache eines Netzwerkgeräts vergiften, indem er eine ARP-Antwort an das Gerät sendet, die alle Pakete, die für eine bestimmte IP-Adresse bestimmt sind, an eine andere MAC-Adresse weiterleitet.
Um MAC-Spoofing durch unnötiges ARP und andere Arten von Spoofing zu verhindern, untersuchen die Switches ARP-Antworten über DAI.
Dynamische ARP-Inspektion
DAI untersucht ARP-Anfragen und -Antworten im LAN und validiert ARP-Pakete. Der Switch fängt ARP-Pakete von einem Zugriffsport ab und validiert sie anhand der DHCP-Snooping-Datenbank. Wenn kein IP-MAC-Eintrag in der Datenbank den Informationen im ARP-Paket entspricht, verwirft DAI das ARP-Paket, und der lokale ARP-Cache wird nicht mit den Informationen in diesem Paket aktualisiert. DAI verwirft auch ARP-Pakete, wenn die IP-Adresse im Paket ungültig ist. ARP-Probe-Pakete werden keiner dynamischen ARP-Prüfung unterzogen. Der Switch leitet solche Pakete immer weiter.
Junos OS für Switches der EX-Serie und die QFX-Serie verwendet DAI für ARP-Pakete, die an Zugriffsports empfangen werden, da diese Ports standardmäßig nicht vertrauenswürdig sind. Trunk-Ports sind standardmäßig vertrauenswürdig, und daher umgehen ARP-Pakete DAI auf ihnen.
Sie konfigurieren DAI für jedes VLAN, nicht für jede Schnittstelle (Port). Standardmäßig ist DAI für alle VLANs deaktiviert.
Wenn Sie eine Schnittstelle als vertrauenswürdigen DHCP-Port festlegen, wird sie auch für ARP-Pakete als vertrauenswürdig eingestuft.
Wenn es sich bei Ihrem Switching-Gerät um einen Switch der EX-Serie handelt und Junos OS mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet wird, finden Sie unter Aktivieren eines vertrauenswürdigen DHCP-Servers (ELS) Informationen zum Konfigurieren einer Zugriffsschnittstelle als vertrauenswürdiger DHCP-Port.
Für Pakete, die an das Switching-Gerät gerichtet sind, mit dem ein Netzwerkgerät verbunden ist, werden ARP-Abfragen im VLAN gesendet. Die ARP-Antworten auf diese Abfragen werden der DAI-Prüfung unterzogen.
Bei DAI werden alle ARP-Pakete in der Paketweiterleitungs-Engine abgefangen. Um eine CPU-Überlastung zu verhindern, sind ARP-Pakete, die für die Routing-Engine bestimmt sind, ratenbegrenzt.
Wenn der DHCP-Server ausfällt und die Lease-Zeit für einen IP-MAC-Eintrag für ein zuvor gültiges ARP-Paket abläuft, wird dieses Paket blockiert.
Priorisierung geprüfter Pakete
Die Priorisierung geprüfter Pakete wird bei der QFX-Serie und dem EX4600-Switch nicht unterstützt.
Sie können Class-of-Service (CoS)-Weiterleitungsklassen und Warteschlangen verwenden, um DAI-Pakete für ein bestimmtes VLAN zu priorisieren. Bei dieser Art der Konfiguration werden geprüfte Pakete für dieses VLAN in der von Ihnen angegebenen Ausgangswarteschlange platziert, um sicherzustellen, dass das Sicherheitsverfahren die Übertragung von Datenverkehr mit hoher Priorität nicht beeinträchtigt.
Aktivieren der dynamischen ARP-Inspektion (ELS)
Für diese Aufgabe wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Aktivieren der dynamischen ARP-Prüfung (Nicht-ELS).
Dynamic ARP Inspection (DAI) schützt Switches vor ARP-Spoofing. DAI überprüft ARP-Pakete im LAN und verwendet die Informationen in der DHCP-Snooping-Datenbank auf dem Switch, um ARP-Pakete zu validieren und vor ARP-Cache-Poisoning zu schützen.
Bevor Sie DAI in einem VLAN aktivieren können, müssen Sie das VLAN konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie mit ELS-Unterstützung (CLI-Verfahren).
So aktivieren Sie DAI in einem VLAN mithilfe der CLI:
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set arp-inspection
Siehe auch
Aktivieren der dynamischen ARP-Inspektion (Nicht-ELS)
Diese Aufgabe verwendet Junos OS für Switches der EX-Serie, die den Konfigurationsstil Enhanced Layer 2 Software (ELS) nicht unterstützen. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS unterstützt, finden Sie weitere Informationen unter Aktivieren der dynamischen ARP-Inspektion (ELS). Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Dynamic ARP Inspection (DAI) schützt Switches vor ARP-Spoofing. DAI überprüft ARP-Pakete im LAN und verwendet die Informationen in der DHCP-Snooping-Datenbank auf dem Switch, um ARP-Pakete zu validieren und vor ARP-Cache-Poisoning zu schützen.
Aktivieren von DAI in einem VLAN
Sie konfigurieren DAI für jedes VLAN, nicht für jede Schnittstelle (Port). Standardmäßig ist DAI für alle VLANs deaktiviert.
So aktivieren Sie DAI in einem VLAN oder allen VLANs:
In einem einzelnen VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
In allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
Aktivieren von DAI in einer Bridge-Domäne
Weitere Informationen zum Einrichten einer Bridge-Domäne finden Sie unter Konfigurieren einer Bridge-Domäne , falls erforderlich.
So aktivieren Sie DAI in einer Bridge-Domäne:
[edit bridge-domains bridge-domain-name forwarding-options dhcp-security] user@device# set arp-inspection
Anwenden von CoS-Weiterleitungsklassen zur Priorisierung geprüfter Pakete
Möglicherweise müssen Sie Class of Service (CoS) verwenden, um Pakete von kritischen Anwendungen vor dem Verwerfen in Zeiten von Netzwerküberlastung und -verzögerungen zu schützen, und Sie benötigen möglicherweise auch die Portsicherheitsfunktionen von DHCP-Snooping auf denselben Ports, über die diese kritischen Pakete ein- und ausgehen.
So wenden Sie CoS-Weiterleitungsklassen und -Warteschlangen auf DAI-Pakete an:
Überprüfen, ob DAI ordnungsgemäß funktioniert
Zweck
Vergewissern Sie sich, dass die dynamische ARP-Inspektion (DAI) auf dem Switch funktioniert.
Aktion
Senden Sie einige ARP-Anforderungen von Netzwerkgeräten, die mit dem Switch verbunden sind.
Zeigen Sie die DAI-Informationen an:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Bedeutung
Die Beispielausgabe zeigt die Anzahl der ARP-Pakete, die pro Schnittstelle empfangen und geprüft wurden, mit einer Auflistung, wie viele Pakete bestanden wurden und wie viele die Überprüfung auf jeder Schnittstelle nicht bestanden haben. Der Switch vergleicht die ARP-Anfragen und -Antworten mit den Einträgen in der DHCP-Snooping-Datenbank. Wenn eine MAC- oder IP-Adresse im ARP-Paket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmt, wird das Paket verworfen.