Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: configuración de IP Source Guard e inspección de ARP dinámica en un dominio de puente especificado para proteger los dispositivos contra ataques

En este ejemplo se describe cómo habilitar la protección de origen IP y la inspección ARP dinámica (DAI) en un dominio de puente especificado para proteger el dispositivo contra direcciones IP/MAC falsificadas y ataques de suplantación de ARP. Cuando se habilita la protección de origen IP o DAI, la configuración habilita automáticamente el espionaje DHCP para el mismo dominio de puente.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un enrutador serie MX

  • Junos OS versión 14.1

  • Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el dispositivo

Antes de configurar la protección de origen IP para evitar la suplantación de IP/MAC o DAI para mitigar los ataques de suplantación de ARP, asegúrese de tener:

Descripción general y topología

Los dispositivos LAN Ethernet son vulnerables a ataques a la seguridad que implican suplantación (falsificación) de direcciones MAC o direcciones IP de origen. Estos paquetes falsificados se envían desde hosts conectados a interfaces de acceso que no son de confianza en el dispositivo. La protección de origen IP comprueba la dirección IP de origen y la dirección de origen MAC en un paquete enviado desde un host conectado a una interfaz de acceso que no es de confianza en el dispositivo con las entradas almacenadas en la base de datos de espionaje DHCP. Si la protección de origen IP determina que el encabezado del paquete contiene una dirección IP o una dirección MAC de origen no válidas, garantiza que el dispositivo no reenvíe el paquete, es decir, que el paquete se descarte.

Otro tipo de ataque de seguridad es la suplantación de ARP (también conocida como envenenamiento de ARP o envenenamiento de caché de ARP). La suplantación de ARP es una forma de iniciar ataques man-in-the-middle. El atacante envía un paquete ARP que suplanta la dirección MAC de otro dispositivo en el dominio del puente. En lugar de que el dispositivo envíe tráfico al dispositivo de red adecuado, lo envía al dispositivo con la dirección falsificada que se hace pasar por el dispositivo adecuado. Si el dispositivo que suplanta es el equipo del atacante, el atacante recibe todo el tráfico del dispositivo que debería haber ido a otro dispositivo. El resultado es que el tráfico del dispositivo está mal dirigido y no puede llegar a su destino correcto.

Nota:

Cuando DAI está habilitado, el dispositivo registra el número de paquetes ARP no válidos que recibe en cada interfaz, junto con las direcciones IP y MAC del remitente. Puede usar estos mensajes de registro para detectar suplantación de ARP en la red.

En este ejemplo se muestra cómo configurar estas importantes características de seguridad de puertos en un dispositivo que está conectado a un servidor DHCP. La configuración de este ejemplo incluye el dominio employee-bdomain de puente en el dispositivo de conmutación. La figura 1 ilustra la topología de este ejemplo.

Nota:

La interfaz troncal que se conecta a la interfaz del servidor DHCP es un puerto de confianza de forma predeterminada.

Topología

Figura 1: Topología de red de dispositivos de conmutación para seguridad Switching Device Network Topology for Basic Port Security básica de puertos

Los componentes de la topología de este ejemplo se muestran en la tabla 1.

Tabla 1: Componentes de la topología de seguridad de puertos
Configuración de propiedades

Hardware del dispositivo

Un enrutador serie MX

Nombre de dominio e ID del puente

employee-bdomainetiqueta 20

Subredes de dominio de puente

192.0.2.16/28192.0.2.17 a través de 192.0.2.30192.0.2.31 es la dirección de difusión de la subred

Interfaces en employee-bdomain

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

Interfaz que se conecta al servidor DHCP

ge-0/0/8

En este ejemplo, el dispositivo ya se ha configurado de la siguiente manera:

  • Todos los puertos de acceso no son de confianza, que es la configuración predeterminada.

  • El puerto de troncalización (ge-0/0/8) es de confianza, que es la configuración predeterminada.

  • El dominio de puente (employee-bdomain) se ha configurado para incluir las interfaces especificadas.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente IP source guard y DAI (y, por lo tanto, también configurar automáticamente el espionaje DHCP para proteger el dispositivo contra la suplantación de IP y los ataques ARP), copie los siguientes comandos y péguelos en la ventana del terminal del dispositivo:

Procedimiento paso a paso

Para configurar IP source guard y DAI (y, por lo tanto, también configurar automáticamente el espionaje DHCP) en el dominio del puente:

  1. Configure la protección de origen IP en el dominio del puente:

  2. Habilite DAI en el dominio de puente:

Resultados

Compruebe los resultados de la configuración:

Verificación

Confirme que la configuración funciona correctamente.

Comprobación de que la supervisión de DHCP funciona correctamente en el dispositivo

Propósito

Compruebe que la supervisión de DHCP funciona en el dispositivo.

Acción

Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al dispositivo.

Muestra la información de espionaje DHCP cuando el puerto en el que el servidor DHCP se conecta al dispositivo es de confianza. El siguiente resultado se produce cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IP y las concesiones:

Significado

Cuando la interfaz en la que el servidor DHCP se conecta al dispositivo se ha establecido en de confianza, el resultado (consulte el ejemplo anterior) muestra, para la dirección IP asignada, la dirección MAC del dispositivo, el nombre de VLAN y el tiempo, en segundos, restante antes de que expire la concesión.

Comprobar que IP Source Guard funciona en el dominio de puente

Propósito

Compruebe que la protección de origen IP esté habilitada y funcione en el dominio del puente.

Acción

Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al dispositivo. Vea la información de protección de origen IP para el dominio del puente de datos.

Significado

La tabla de base de datos de protección de origen IP contiene las VLAN y los dominios de puente habilitados para la protección de origen IP.

Comprobación de que DAI funciona correctamente en el dispositivo

Propósito

Compruebe que DAI funciona en el dispositivo.

Acción

Envíe algunas solicitudes ARP desde los dispositivos de red conectados al dispositivo.

Mostrar la información de DAI:

Significado

El resultado de ejemplo muestra el número de paquetes ARP recibidos e inspeccionados por interfaz, con una lista de cuántos paquetes pasaron y cuántos no pasaron la inspección en cada interfaz. El dispositivo compara las solicitudes y respuestas ARP con las entradas de la base de datos de espionaje DHCP. Si una dirección MAC o IP en el paquete ARP no coincide con una entrada válida en la base de datos, el paquete se descarta.