Comprendre et utiliser l’inspection ARP dynamique (DAI)
L’inspection ARP dynamique (DAI) protège les commutateurs contre l’usurpation de paquets ARP (Address Resolution Protocol) (également connue sous le nom d’empoisonnement ARP ou d’empoisonnement de cache ARP).
Le DAI inspecte les ARP sur le réseau local et utilise les informations de la base de données d’écoute DHCP sur le commutateur pour valider les paquets ARP et se protéger contre l’usurpation d’ARP. Les requêtes et réponses ARP sont comparées aux entrées de la base de données d’écoute DHCP, et les décisions de filtrage sont prises en fonction des résultats de ces comparaisons. Lorsqu’un attaquant tente d’utiliser un paquet ARP falsifié pour usurper une adresse, le commutateur compare l’adresse avec les entrées de la base de données. Si l’adresse MAC (Media Access Control) ou l’adresse IP du paquet ARP ne correspond pas à une entrée valide dans la base de données de surveillance DHCP, le paquet est abandonné
Comprendre l’usurpation d’identité et l’inspection ARP
Les paquets ARP sont envoyés au moteur de routage et sont limités en débit pour protéger le périphérique de commutation contre la surcharge du processeur.
- Protocole de résolution d’adresse
- Usurpation d’ARP
- Inspection ARP dynamique
- Hiérarchisation des paquets inspectés
Protocole de résolution d’adresse
L’envoi de paquets IP sur un réseau multi-accès nécessite de mapper une adresse IP à une adresse MAC Ethernet.
Les réseaux locaux Ethernet utilisent ARP pour mapper les adresses MAC aux adresses IP.
Le périphérique de commutation conserve ce mappage dans un cache qu’il consulte lorsqu’il transfère des paquets vers des périphériques réseau. Si le cache ARP ne contient pas d'entrée pour le périphérique de destination, l'hôte (le client DHCP) diffuse une requête ARP pour l'adresse de ce périphérique et stocke la réponse dans le cache.
Usurpation d’ARP
L’usurpation ARP est un moyen de lancer des attaques de type « man-in-the-middle ». L’attaquant envoie un paquet ARP qui usurpe l’adresse MAC d’un autre périphérique sur le réseau local. Au lieu que le périphérique de commutation envoie le trafic vers le périphérique réseau approprié, il envoie le trafic vers le périphérique avec l’adresse usurpée qui usurpe l’identité du périphérique approprié. Si l'appareil usurpant l'identité de l'attaquant est l'ordinateur, celui-ci reçoit tout le trafic du commutateur qui doit être allé vers un autre appareil. Par conséquent, le trafic provenant de l’équipement de commutation est mal dirigé et ne peut pas atteindre sa destination.
L’un des types d’usurpation ARP est l’ARP gratuit, qui se produit lorsqu’un périphérique réseau envoie une requête ARP pour résoudre sa propre adresse IP. En fonctionnement LAN normal, les messages ARP gratuits indiquent que deux périphériques ont la même adresse MAC. Ils sont également diffusés lorsqu’une carte d’interface réseau (NIC) d’un périphérique est changée et que le périphérique est redémarré, de sorte que d’autres périphériques sur le LAN mettent à jour leurs caches ARP. Dans des situations malveillantes, un attaquant peut empoisonner le cache ARP d’un périphérique réseau en envoyant une réponse ARP au périphérique qui dirige tous les paquets destinés à une certaine adresse IP vers une autre adresse MAC à la place.
Pour empêcher l’usurpation MAC par le biais d’ARP gratuit et d’autres types d’usurpation d’identité, les commutateurs examinent les réponses ARP via DAI.
Inspection ARP dynamique
Le DAI examine les requêtes et les réponses ARP sur le réseau local et valide les paquets ARP. Le commutateur intercepte les paquets ARP à partir d’un port d’accès et les valide par rapport à la base de données d’écoute DHCP. Si aucune entrée IP-MAC dans la base de données ne correspond aux informations contenues dans le paquet ARP, DAI abandonne le paquet ARP et le cache ARP local n’est pas mis à jour avec les informations contenues dans ce paquet. DAI abandonne également les paquets ARP lorsque l’adresse IP du paquet n’est pas valide. Les paquets de sondes ARP ne sont pas soumis à une inspection ARP dynamique. Le commutateur transfère toujours ces paquets.
Junos OS pour les commutateurs EX Series et le QFX Series utilise DAI pour les paquets ARP reçus sur les ports d’accès, car ces ports ne sont pas approuvés par défaut. Les ports trunk sont approuvés par défaut et, par conséquent, les paquets ARP contournent le DAI sur eux.
Vous configurez le DAI pour chaque VLAN, et non pour chaque interface (port). Par défaut, le DAI est désactivé pour tous les VLAN.
Si vous définissez une interface comme port approuvé DHCP, elle l’est également pour les paquets ARP.
Si votre périphérique de commutation est un commutateur EX Series et utilise Junos OS avec prise en charge du style de configuration ELS (Enhanced L2 Software), reportez-vous à la section Activation d’un serveur DHCP approuvé (ELS) pour plus d’informations sur la configuration d’une interface d’accès en tant que port approuvé DHCP.
Pour les paquets dirigés vers le périphérique de commutation auquel un périphérique réseau est connecté, les requêtes ARP sont diffusées sur le VLAN. Les réponses ARP à ces requêtes sont soumises à la vérification DAI.
Pour DAI, tous les paquets ARP sont piégés dans le moteur de transfert de paquets. Pour éviter la surcharge du processeur, les paquets ARP destinés au moteur de routage sont limités en débit.
Si le serveur DHCP tombe en panne et que le bail d’une entrée IP-MAC pour un paquet ARP précédemment valide expire, ce paquet est bloqué.
Hiérarchisation des paquets inspectés
La hiérarchisation des paquets inspectés n’est pas prise en charge sur le QFX Series et le commutateur EX4600.
Vous pouvez utiliser des classes de transfert et des files d’attente de classe de service (CoS) pour hiérarchiser les paquets DAI pour un VLAN spécifié. Ce type de configuration place les paquets inspectés pour ce VLAN dans la file d’attente de sortie que vous spécifiez, ce qui garantit que la procédure de sécurité n’interfère pas avec la transmission du trafic hautement prioritaire.
Activation de l’inspection ARP dynamique (ELS)
Cette tâche utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Activation de l’inspection ARP dynamique (non-ELS).
L’inspection dynamique ARP (DAI) protège les commutateurs contre l’usurpation d’ARP. Le DAI inspecte les paquets ARP sur le réseau local et utilise les informations de la base de données d’écoute DHCP sur le commutateur pour valider les paquets ARP et se protéger contre l’empoisonnement de cache ARP.
Avant de pouvoir activer le DAI sur un VLAN, vous devez configurer le VLAN. Reportez-vous à la section Configuration des VLAN pour commutateurs EX Series avec prise en charge ELS (procédure CLI).
Pour activer DAI sur un VLAN à l’aide de l’interface de ligne de commande :
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set arp-inspection
Voir aussi
Activation de l’inspection ARP dynamique (non-ELS)
Cette tâche utilise Junos OS pour les commutateurs EX Series qui ne prennent pas en charge le style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel prenant en charge ELS, reportez-vous à la section Activation de l’inspection ARP dynamique (ELS). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
L’inspection dynamique ARP (DAI) protège les commutateurs contre l’usurpation d’ARP. Le DAI inspecte les paquets ARP sur le réseau local et utilise les informations de la base de données d’écoute DHCP sur le commutateur pour valider les paquets ARP et se protéger contre l’empoisonnement de cache ARP.
Activation de DAI sur un VLAN
Vous configurez le DAI pour chaque VLAN, et non pour chaque interface (port). Par défaut, le DAI est désactivé pour tous les VLAN.
Pour activer le DAI sur un VLAN ou sur tous les VLAN :
Sur un seul VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
Sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
Activation de DAI sur un domaine de pont
Reportez-vous à la section Configuration d’un domaine de pont pour configurer un domaine de pont si nécessaire.
Pour activer DAI sur un domaine de pont :
[edit bridge-domains bridge-domain-name forwarding-options dhcp-security] user@device# set arp-inspection
Application des classes de transfert CoS pour hiérarchiser les paquets inspectés
Vous aurez peut-être besoin d’utiliser la classe de service (CoS) pour protéger les paquets des applications critiques contre la perte pendant les périodes de congestion et de retard du réseau, et vous aurez peut-être également besoin des fonctionnalités de sécurité de port de l’espionnage DHCP sur les mêmes ports par lesquels ces paquets critiques entrent et sortent.
Pour appliquer des classes de transfert et des files d’attente CoS aux paquets DAI :
Vérification du bon fonctionnement du DAI
But
Vérifiez que l’inspection ARP dynamique (DAI) fonctionne sur le commutateur.
Action
Envoyez des requêtes ARP à partir des périphériques réseau connectés au commutateur.
Affichez les informations DAI :
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Signification
L’exemple de sortie indique le nombre de paquets ARP reçus et inspectés par interface, avec une liste du nombre de paquets passés et du nombre d’échecs à l’inspection sur chaque interface. Le commutateur compare les requêtes et les réponses ARP aux entrées de la base de données d’écoute DHCP. Si une adresse MAC ou une adresse IP dans le paquet ARP ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.