EN ESTA PÁGINA
Ejemplo: configuración de IP Source Guard e inspección de ARP dinámica en un dominio de puente especificado para proteger los dispositivos contra ataques
En este ejemplo se describe cómo habilitar la protección de origen IP y la inspección ARP dinámica (DAI) en un dominio de puente especificado para proteger el dispositivo contra direcciones IP/MAC falsificadas y ataques de suplantación de ARP. Cuando se habilita la protección de origen IP o DAI, la configuración habilita automáticamente el espionaje DHCP para el mismo dominio de puente.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un enrutador serie MX
Junos OS versión 14.1
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el dispositivo
Antes de configurar la protección de origen IP para evitar la suplantación de IP/MAC o DAI para mitigar los ataques de suplantación de ARP, asegúrese de tener:
Conectó el servidor DHCP al dispositivo.
Se ha configurado el dominio de puente al que va a agregar características de seguridad DHCP. Consulte Configuración del dominio de puente para los servicios de CPE en la nube del enrutador de la serie MX.
Descripción general y topología
Los dispositivos LAN Ethernet son vulnerables a ataques a la seguridad que implican suplantación (falsificación) de direcciones MAC o direcciones IP de origen. Estos paquetes falsificados se envían desde hosts conectados a interfaces de acceso que no son de confianza en el dispositivo. La protección de origen IP comprueba la dirección IP de origen y la dirección de origen MAC en un paquete enviado desde un host conectado a una interfaz de acceso que no es de confianza en el dispositivo con las entradas almacenadas en la base de datos de espionaje DHCP. Si la protección de origen IP determina que el encabezado del paquete contiene una dirección IP o una dirección MAC de origen no válidas, garantiza que el dispositivo no reenvíe el paquete, es decir, que el paquete se descarte.
Otro tipo de ataque de seguridad es la suplantación de ARP (también conocida como envenenamiento de ARP o envenenamiento de caché de ARP). La suplantación de ARP es una forma de iniciar ataques man-in-the-middle. El atacante envía un paquete ARP que suplanta la dirección MAC de otro dispositivo en el dominio del puente. En lugar de que el dispositivo envíe tráfico al dispositivo de red adecuado, lo envía al dispositivo con la dirección falsificada que se hace pasar por el dispositivo adecuado. Si el dispositivo que suplanta es el equipo del atacante, el atacante recibe todo el tráfico del dispositivo que debería haber ido a otro dispositivo. El resultado es que el tráfico del dispositivo está mal dirigido y no puede llegar a su destino correcto.
Cuando DAI está habilitado, el dispositivo registra el número de paquetes ARP no válidos que recibe en cada interfaz, junto con las direcciones IP y MAC del remitente. Puede usar estos mensajes de registro para detectar suplantación de ARP en la red.
En este ejemplo se muestra cómo configurar estas importantes características de seguridad de puertos en un dispositivo que está conectado a un servidor DHCP. La configuración de este ejemplo incluye el dominio employee-bdomain
de puente en el dispositivo de conmutación. La figura 1 ilustra la topología de este ejemplo.
La interfaz troncal que se conecta a la interfaz del servidor DHCP es un puerto de confianza de forma predeterminada.
Topología
Los componentes de la topología de este ejemplo se muestran en la tabla 1.
Configuración de propiedades | |
---|---|
Hardware del dispositivo |
Un enrutador serie MX |
Nombre de dominio e ID del puente |
|
Subredes de dominio de puente |
|
Interfaces en |
|
Interfaz que se conecta al servidor DHCP |
|
En este ejemplo, el dispositivo ya se ha configurado de la siguiente manera:
Todos los puertos de acceso no son de confianza, que es la configuración predeterminada.
El puerto de troncalización (ge-0/0/8) es de confianza, que es la configuración predeterminada.
El dominio de puente (
employee-bdomain
) se ha configurado para incluir las interfaces especificadas.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente IP source guard y DAI (y, por lo tanto, también configurar automáticamente el espionaje DHCP para proteger el dispositivo contra la suplantación de IP y los ataques ARP), copie los siguientes comandos y péguelos en la ventana del terminal del dispositivo:
[edit] set bridge-domains employee-bdomain forwarding-options dhcp-security ip-source-guard set bridge-domains employee-bdomain forwarding-options dhcp-security arp-inspection
Procedimiento paso a paso
Para configurar IP source guard y DAI (y, por lo tanto, también configurar automáticamente el espionaje DHCP) en el dominio del puente:
Configure la protección de origen IP en el dominio del puente:
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set ip-source-guard
Habilite DAI en el dominio de puente:
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set arp-inspection
Resultados
Compruebe los resultados de la configuración:
user@device> show bridge-domains employee-bdomain forwarding-options employee-bdomain { forwarding-options { dhcp-security { arp-inspection; ip-source-guard; } } }
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de que la supervisión de DHCP funciona correctamente en el dispositivo
- Comprobar que IP Source Guard funciona en el dominio de puente
- Comprobación de que DAI funciona correctamente en el dispositivo
Comprobación de que la supervisión de DHCP funciona correctamente en el dispositivo
Propósito
Compruebe que la supervisión de DHCP funciona en el dispositivo.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al dispositivo.
Muestra la información de espionaje DHCP cuando el puerto en el que el servidor DHCP se conecta al dispositivo es de confianza. El siguiente resultado se produce cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IP y las concesiones:
user@device> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Significado
Cuando la interfaz en la que el servidor DHCP se conecta al dispositivo se ha establecido en de confianza, el resultado (consulte el ejemplo anterior) muestra, para la dirección IP asignada, la dirección MAC del dispositivo, el nombre de VLAN y el tiempo, en segundos, restante antes de que expire la concesión.
Comprobar que IP Source Guard funciona en el dominio de puente
Propósito
Compruebe que la protección de origen IP esté habilitada y funcione en el dominio del puente.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al dispositivo. Vea la información de protección de origen IP para el dominio del puente de datos.
user@device> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
Significado
La tabla de base de datos de protección de origen IP contiene las VLAN y los dominios de puente habilitados para la protección de origen IP.
Comprobación de que DAI funciona correctamente en el dispositivo
Propósito
Compruebe que DAI funciona en el dispositivo.
Acción
Envíe algunas solicitudes ARP desde los dispositivos de red conectados al dispositivo.
Mostrar la información de DAI:
user@device> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
El resultado de ejemplo muestra el número de paquetes ARP recibidos e inspeccionados por interfaz, con una lista de cuántos paquetes pasaron y cuántos no pasaron la inspección en cada interfaz. El dispositivo compara las solicitudes y respuestas ARP con las entradas de la base de datos de espionaje DHCP. Si una dirección MAC o IP en el paquete ARP no coincide con una entrada válida en la base de datos, el paquete se descarta.