EN ESTA PÁGINA
Ejemplo: configuración de IP Source Guard e inspección de ARP dinámica para proteger el conmutador de la suplantación de IP y la suplantación de ARP
En este ejemplo se utiliza Junos OS compatible con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Ejemplo: Protección contra ataques de suplantación de ARP. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
En los conmutadores EX9200, el espionaje DHCP, el DAI y la protección de origen IP no se admiten en un escenario MC-LAG.
En este ejemplo se describe cómo habilitar la protección de origen IP y la inspección ARP dinámica (DAI) en una VLAN especificada para proteger el conmutador contra direcciones IP/MAC falsificadas y ataques de suplantación de ARP. Cuando habilita IP source guard o DAI, la configuración habilita automáticamente la supervisión de DHCP para la misma VLAN.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Este ejemplo también se aplica a los conmutadores QFX5100, QFX5110 y QFX5200.
Un conmutador EX4300 o EX9200
Junos OS versión 13.2X50-D10 o posterior para conmutadores serie EX
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el conmutador
Antes de configurar la protección de origen IP para evitar la suplantación de IP/MAC o DAI para mitigar los ataques de suplantación de ARP, asegúrese de tener:
Conectó el servidor DHCP al conmutador.
Configuró la VLAN a la que va a agregar características de seguridad DHCP.
Descripción general y topología
Los conmutadores LAN Ethernet son vulnerables a ataques de seguridad que implican suplantación (falsificación) de direcciones MAC o direcciones IP de origen. Estos paquetes falsificados se envían desde hosts conectados a interfaces de acceso que no son de confianza en el conmutador. Estos paquetes falsificados se envían desde hosts conectados a interfaces de acceso que no son de confianza en el conmutador. La protección de origen IP comprueba la dirección IP de origen y la dirección de origen MAC en un paquete enviado desde un host conectado a una interfaz de acceso que no es de confianza en el conmutador con las entradas almacenadas en la base de datos de espionaje DHCP. Si la protección de origen IP determina que el encabezado del paquete contiene una dirección IP o una dirección MAC de origen no válidas, se asegura de que el conmutador no reenvíe el paquete, es decir, que el paquete se descarte.
Otro tipo de ataque de seguridad es la suplantación de ARP (también conocida como envenenamiento de ARP o envenenamiento de caché de ARP). La suplantación de ARP es una forma de iniciar ataques man-in-the-middle. El atacante envía un paquete ARP que suplanta la dirección MAC de otro dispositivo en la LAN. En lugar de que el conmutador envíe tráfico al dispositivo de red adecuado, lo envía al dispositivo con la dirección falsificada que se hace pasar por el dispositivo adecuado. Si el dispositivo que suplanta es el equipo del atacante, el atacante recibe todo el tráfico del conmutador que debería haber ido a otro dispositivo. El resultado es que el tráfico del conmutador se dirige erróneamente y no puede llegar a su destino correcto.
Cuando la inspección ARP dinámica (DAI) está habilitada, el conmutador registra el número de paquetes ARP no válidos que recibe en cada interfaz, junto con las direcciones IP y MAC del remitente. Puede usar estos mensajes de registro para detectar suplantación de ARP en la red.
En este ejemplo se muestra cómo configurar estas importantes funciones de seguridad de puertos en un conmutador que está conectado a un servidor DHCP. La configuración de este ejemplo incluye la VLAN employee-vlan en el conmutador. La figura 1 ilustra la topología de este ejemplo.
La interfaz troncal que se conecta a la interfaz del servidor DHCP es un puerto de confianza de forma predeterminada. Si conecta un servidor DHCP a un puerto de acceso, debe configurar el puerto como de confianza. Antes de hacerlo, asegúrese de que el servidor sea físicamente seguro, es decir, de que el acceso al servidor esté supervisado y controlado. Para obtener más información acerca de los puertos de confianza y no confianza para DHCP, consulte Descripción y uso de servidores DHCP de confianza.
Topología
básica de puertos
Los componentes de la topología de este ejemplo se muestran en la tabla 1.
| Configuración de propiedades | |
|---|---|
Hardware del conmutador |
Un conmutador EX4300 o EX9200 |
Nombre e ID de VLAN |
|
|
|
Subredes VLAN |
|
Interfaces en |
|
Interfaz que se conecta al servidor DHCP |
|
En este ejemplo, el conmutador ya se ha configurado de la siguiente manera:
Todos los puertos de acceso no son de confianza, que es la configuración predeterminada.
El puerto troncal (
ge-0/0/8) es de confianza, que es la configuración predeterminada.La VLAN (
employee-vlan) se ha configurado para incluir las interfaces especificadas.
Configuración
Para configurar la protección de origen IP y DAI (y, por lo tanto, también configurar automáticamente la supervisión de DHCP) para proteger el conmutador contra la suplantación de IP y los ataques ARP:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente IP source guard y DAI (y, por lo tanto, también configurar automáticamente el espionaje DHCP), copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans employee-vlan forwarding-options dhcp-security ip-source-guard set vlans employee-vlan forwarding-options dhcp-security arp-inspection
Procedimiento paso a paso
Configure IP source guard y DAI (y, por lo tanto, también configure automáticamente el espionaje DHCP) en la VLAN:
Configure la protección de origen IP en la VLAN:
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set ip-source-guard
Habilite DAI en la VLAN:
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set arp-inspection
Resultados
Compruebe los resultados de la configuración:
user@switch> show vlans employee-vlan forwarding-options
employee-vlan {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de que la supervisión de DHCP funciona correctamente en el conmutador
- Comprobación de que IP Source Guard funciona en la VLAN
- Comprobación de que DAI funciona correctamente en el conmutador
Comprobación de que la supervisión de DHCP funciona correctamente en el conmutador
Propósito
Compruebe que la supervisión de DHCP funciona en el conmutador.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.
Muestra la información de espionaje DHCP cuando el puerto en el que el servidor DHCP se conecta al conmutador es de confianza. El siguiente resultado se produce cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IP y las concesiones:
user@switch> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Significado
Cuando la interfaz en la que el servidor DHCP se conecta al conmutador se ha establecido en de confianza, el resultado (consulte el ejemplo anterior) muestra, para la dirección IP asignada, la dirección MAC del dispositivo, el nombre de la VLAN y el tiempo, en segundos, restante antes de que expire la concesión.
Comprobación de que IP Source Guard funciona en la VLAN
Propósito
Verifique que la protección de origen IP esté habilitada y funcione en la VLAN.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador. Vea la información de protección de origen IP para la VLAN de datos.
user@switch> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Significado
La tabla de base de datos de protección de origen IP contiene las VLAN habilitadas para la protección de origen IP.
Comprobación de que DAI funciona correctamente en el conmutador
Propósito
Compruebe que DAI funciona en el conmutador.
Acción
Envíe algunas solicitudes ARP desde dispositivos de red conectados al conmutador.
Mostrar la información de DAI:
user@switch> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
El resultado de ejemplo muestra el número de paquetes ARP recibidos e inspeccionados por interfaz, con una lista de cuántos paquetes pasaron y cuántos no pasaron la inspección en cada interfaz. El conmutador compara las solicitudes y respuestas ARP con las entradas de la base de datos de espionaje DHCP. Si una dirección MAC o IP en el paquete ARP no coincide con una entrada válida en la base de datos, el paquete se descarta.