Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: protección contra ataques de suplantación de ARP

En un ataque de suplantación de ARP, el atacante asocia su propia dirección MAC con la dirección IP de un dispositivo de red conectado al conmutador. El tráfico destinado a esa dirección IP ahora se envía al atacante en lugar de enviarse al destino previsto. El atacante puede enviar mensajes ARP falsos o "falsificados" en la LAN.

Nota:

Cuando la inspección ARP dinámica (DAI) está habilitada, el conmutador registra el número de paquetes ARP no válidos que recibe en cada interfaz, junto con las direcciones IP y MAC del remitente. Puede usar estos mensajes de registro para detectar suplantación de ARP en la red. Los paquetes de sonda ARP no se someten a inspección ARP dinámica. El conmutador siempre reenvía dichos paquetes.

En este ejemplo se describe cómo configurar la supervisión de DHCP y la inspección ARP dinámica (DAI), dos características de seguridad de puertos, para proteger el conmutador contra ataques de suplantación de ARP:

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un conmutador de la serie EX o un conmutador de QFX3500

  • Junos OS versión 11.4 o posterior para conmutadores de la serie EX o Junos OS versión 12.1 o posterior para la serie QFX

  • Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el conmutador

Antes de configurar la supervisión de DHCP y DAI (funciones de seguridad de dos puertos) para mitigar los ataques de suplantación de ARP, asegúrese de contar con:

Descripción general y topología

Las LAN Ethernet son vulnerables a la suplantación de identidad y a los ataques DoS en los dispositivos de red. En este ejemplo se describe cómo proteger el conmutador contra un tipo común de ataque, un ataque de suplantación de ARP.

En un ataque de suplantación de ARP, el atacante envía mensajes ARP falsos, creando así varios tipos de problemas en la LAN; por ejemplo, el atacante podría lanzar un ataque de tipo "man in the middle".

En este ejemplo se muestra cómo configurar las características de seguridad de puertos en un conmutador que está conectado a un servidor DHCP. La configuración de este ejemplo incluye la VLAN employee-vlan en el conmutador. El procedimiento para crear esa VLAN se describe en el tema Ejemplo: Configuración de puentes con varias VLAN para conmutadores de la serie EX y Ejemplo: Configuración de puentes con varias VLAN en conmutadores para la serie QFX. Este procedimiento no se repite aquí. La figura 1 ilustra la topología de este ejemplo.

Topología

Figura 1: Topología de red para la seguridad Network Topology for Basic Port Security básica de puertos

Los componentes de la topología de este ejemplo se muestran en la tabla 1.

Tabla 1: Componentes de la topología de seguridad de puertos
Configuración de propiedades

Hardware del conmutador

Un conmutador EX3200-24P, 24 puertos (8 puertos PoE) o un conmutador QFX3500

Nombre e ID de VLAN

empleado-VLAN, etiqueta 20

Subredes VLAN

192.0.2.16/28 192.0.2.17 a 192.0.2.30192.0.2.31 es la dirección de difusión de la subred

Interfaces en employee-vlan

ge-0/0/1,ge-0/0/2, ge-0/0/3, ge-0/0/8

Interfaz para el servidor DHCP

ge-0/0/8

En este ejemplo, el conmutador ya se ha configurado de la siguiente manera:

  • El acceso seguro a puertos se activa en el conmutador.

  • La supervisión de DHCP está deshabilitada en la VLAN employee-vlan.

  • Todos los puertos de acceso no son de confianza, que es la configuración predeterminada.

Configuración

Para configurar la supervisión de DHCP y la inspección ARP dinámica (DAI) para proteger el conmutador contra ataques ARP:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente la inspección ARP dinámica (DAI) y la supervisión dinámica de ARP (DAI) de DHCP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Configure la inspección de ARP dinámica (DAI) y la supervisión dinámica de ARP (DAI) de DHCP en la VLAN:

  1. Establezca la interfaz ge-0/0/8 como de confianza:

  2. Habilite la supervisión de DHCP en la VLAN:

  3. Habilite DAI en la VLAN:

Resultados

Compruebe los resultados de la configuración:

Verificación

Confirme que la configuración funciona correctamente.

Comprobación de que la supervisión de DHCP funciona correctamente en el conmutador

Propósito

Compruebe que la supervisión de DHCP funciona en el conmutador.

Acción

Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.

Muestra la información de espionaje DHCP cuando el puerto en el que el servidor DHCP se conecta al conmutador es de confianza. El siguiente resultado se produce cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IP y las concesiones:

Significado

Cuando la interfaz en la que el servidor DHCP se conecta al conmutador se ha establecido en de confianza, el resultado (consulte el ejemplo anterior) muestra, para cada dirección MAC, la dirección IP asignada y el tiempo de concesión, es decir, el tiempo, en segundos, restante antes de que expire la concesión.

Comprobación de que DAI funciona correctamente en el conmutador

Propósito

Compruebe que DAI funciona en el conmutador.

Acción

Envíe algunas solicitudes ARP desde dispositivos de red conectados al conmutador.

Mostrar la información de DAI:

Significado

El resultado de ejemplo muestra el número de paquetes ARP recibidos e inspeccionados por interfaz, con una lista de cuántos paquetes pasaron y cuántos no pasaron la inspección en cada interfaz. El conmutador compara las solicitudes y respuestas ARP con las entradas de la base de datos de espionaje DHCP. Si una dirección MAC o IP en el paquete ARP no coincide con una entrada válida en la base de datos, el paquete se descarta.