EN ESTA PÁGINA
Ejemplo: protección contra ataques de suplantación de ARP
En un ataque de suplantación de ARP, el atacante asocia su propia dirección MAC con la dirección IP de un dispositivo de red conectado al conmutador. El tráfico destinado a esa dirección IP ahora se envía al atacante en lugar de enviarse al destino previsto. El atacante puede enviar mensajes ARP falsos o "falsificados" en la LAN.
Cuando la inspección ARP dinámica (DAI) está habilitada, el conmutador registra el número de paquetes ARP no válidos que recibe en cada interfaz, junto con las direcciones IP y MAC del remitente. Puede usar estos mensajes de registro para detectar suplantación de ARP en la red. Los paquetes de sonda ARP no se someten a inspección ARP dinámica. El conmutador siempre reenvía dichos paquetes.
En este ejemplo se describe cómo configurar la supervisión de DHCP y la inspección ARP dinámica (DAI), dos características de seguridad de puertos, para proteger el conmutador contra ataques de suplantación de ARP:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un conmutador de la serie EX o un conmutador de QFX3500
Junos OS versión 11.4 o posterior para conmutadores de la serie EX o Junos OS versión 12.1 o posterior para la serie QFX
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el conmutador
Antes de configurar la supervisión de DHCP y DAI (funciones de seguridad de dos puertos) para mitigar los ataques de suplantación de ARP, asegúrese de contar con:
Conectó el servidor DHCP al conmutador.
Configuró una VLAN en el conmutador. Vea la tarea para su plataforma:
Descripción general y topología
Las LAN Ethernet son vulnerables a la suplantación de identidad y a los ataques DoS en los dispositivos de red. En este ejemplo se describe cómo proteger el conmutador contra un tipo común de ataque, un ataque de suplantación de ARP.
En un ataque de suplantación de ARP, el atacante envía mensajes ARP falsos, creando así varios tipos de problemas en la LAN; por ejemplo, el atacante podría lanzar un ataque de tipo "man in the middle".
En este ejemplo se muestra cómo configurar las características de seguridad de puertos en un conmutador que está conectado a un servidor DHCP. La configuración de este ejemplo incluye la VLAN employee-vlan en el conmutador. El procedimiento para crear esa VLAN se describe en el tema Ejemplo: Configuración de puentes con varias VLAN para conmutadores de la serie EX y Ejemplo: Configuración de puentes con varias VLAN en conmutadores para la serie QFX. Este procedimiento no se repite aquí. La figura 1 ilustra la topología de este ejemplo.
Topología

Los componentes de la topología de este ejemplo se muestran en la tabla 1.
Configuración de propiedades | |
---|---|
Hardware del conmutador |
Un conmutador EX3200-24P, 24 puertos (8 puertos PoE) o un conmutador QFX3500 |
Nombre e ID de VLAN |
empleado-VLAN, etiqueta 20 |
Subredes VLAN |
192.0.2.16/28 192.0.2.17 a 192.0.2.30192.0.2.31 es la dirección de difusión de la subred |
Interfaces en employee-vlan |
ge-0/0/1,ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Interfaz para el servidor DHCP |
ge-0/0/8 |
En este ejemplo, el conmutador ya se ha configurado de la siguiente manera:
El acceso seguro a puertos se activa en el conmutador.
La supervisión de DHCP está deshabilitada en la VLAN employee-vlan.
Todos los puertos de acceso no son de confianza, que es la configuración predeterminada.
Configuración
Para configurar la supervisión de DHCP y la inspección ARP dinámica (DAI) para proteger el conmutador contra ataques ARP:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la inspección ARP dinámica (DAI) y la supervisión dinámica de ARP (DAI) de DHCP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted user@switch# set vlan employee-vlan examine-dhcp user@switch# set vlan employee-vlan arp-inspection
Procedimiento paso a paso
Configure la inspección de ARP dinámica (DAI) y la supervisión dinámica de ARP (DAI) de DHCP en la VLAN:
Establezca la interfaz ge-0/0/8 como de confianza:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
Habilite la supervisión de DHCP en la VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
Habilite DAI en la VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
Resultados
Compruebe los resultados de la configuración:
[edit ethernet-switching-options secure-access-port] user@switch# show interface ge-0/0/8.0 { dhcp-trusted; } vlan employee-vlan { arp-inspection; examine-dhcp; }
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de que la supervisión de DHCP funciona correctamente en el conmutador
- Comprobación de que DAI funciona correctamente en el conmutador
Comprobación de que la supervisión de DHCP funciona correctamente en el conmutador
Propósito
Compruebe que la supervisión de DHCP funciona en el conmutador.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.
Muestra la información de espionaje DHCP cuando el puerto en el que el servidor DHCP se conecta al conmutador es de confianza. El siguiente resultado se produce cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IP y las concesiones:
user@switch> show dhcp-snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee-vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee-vlan ge-0/0/3.0
Significado
Cuando la interfaz en la que el servidor DHCP se conecta al conmutador se ha establecido en de confianza, el resultado (consulte el ejemplo anterior) muestra, para cada dirección MAC, la dirección IP asignada y el tiempo de concesión, es decir, el tiempo, en segundos, restante antes de que expire la concesión.
Comprobación de que DAI funciona correctamente en el conmutador
Propósito
Compruebe que DAI funciona en el conmutador.
Acción
Envíe algunas solicitudes ARP desde dispositivos de red conectados al conmutador.
Mostrar la información de DAI:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
El resultado de ejemplo muestra el número de paquetes ARP recibidos e inspeccionados por interfaz, con una lista de cuántos paquetes pasaron y cuántos no pasaron la inspección en cada interfaz. El conmutador compara las solicitudes y respuestas ARP con las entradas de la base de datos de espionaje DHCP. Si una dirección MAC o IP en el paquete ARP no coincide con una entrada válida en la base de datos, el paquete se descarta.