Descripción y uso de la inspección ARP dinámica (DAI)
La inspección ARP dinámica (DAI) protege a los dispositivos de conmutación contra la suplantación de paquetes del Protocolo de resolución de direcciones (ARP) (también conocida como envenenamiento de ARP o envenenamiento de caché ARP).
DAI inspecciona los ARP en la LAN y utiliza la información de la base de datos de espionaje DHCP del conmutador para validar los paquetes ARP y protegerse contra la suplantación de ARP. Las solicitudes y respuestas ARP se comparan con las entradas de la base de datos de espionaje DHCP, y las decisiones de filtrado se toman en función de los resultados de esas comparaciones. Cuando un atacante intenta usar un paquete ARP falsificado para suplantar una dirección, el conmutador compara la dirección con las entradas de la base de datos. Si la dirección MAC (control de acceso a medios) o la dirección IP del paquete ARP no coincide con una entrada válida de la base de datos de espionaje DHCP, el paquete se descarta
Descripción de la suplantación e inspección de ARP
Los paquetes ARP se envían al motor de enrutamiento y tienen una velocidad limitada para proteger el dispositivo de conmutación de la sobrecarga de la CPU.
- Protocolo de resolución de direcciones
- Suplantación de ARP
- Inspección ARP dinámica
- Priorización de paquetes inspeccionados
Protocolo de resolución de direcciones
El envío de paquetes IP en una red de acceso múltiple requiere la asignación de una dirección IP a una dirección MAC de Ethernet.
Las LAN Ethernet utilizan ARP para asignar direcciones MAC a direcciones IP.
El dispositivo de conmutación mantiene esta asignación en una memoria caché que consulta al reenviar paquetes a dispositivos de red. Si la caché ARP no contiene una entrada para el dispositivo de destino, el host (el cliente DHCP) difunde una solicitud ARP para la dirección de ese dispositivo y almacena la respuesta en la memoria caché.
Suplantación de ARP
La suplantación de ARP es una forma de iniciar ataques man-in-the-middle. El atacante envía un paquete ARP que suplanta la dirección MAC de otro dispositivo en la LAN. En lugar de que el dispositivo de conmutación envíe tráfico al dispositivo de red adecuado, envía el tráfico al dispositivo con la dirección falsificada que se hace pasar por el dispositivo adecuado. Si el dispositivo que suplanta es el equipo del atacante, el atacante recibe todo el tráfico del conmutador que debe haber ido a otro dispositivo. El resultado es que el tráfico del dispositivo de conmutación se dirige erróneamente y no puede llegar a su destino correcto.
Un tipo de suplantación de ARP es ARP gratuito, que es cuando un dispositivo de red envía una solicitud ARP para resolver su propia dirección IP. En el funcionamiento normal de la LAN, los mensajes ARP gratuitos indican que dos dispositivos tienen la misma dirección MAC. También se difunden cuando se cambia una tarjeta de interfaz de red (NIC) en un dispositivo y se reinicia el dispositivo, de modo que otros dispositivos en la LAN actualizan sus cachés ARP. En situaciones maliciosas, un atacante puede envenenar la caché ARP de un dispositivo de red enviando una respuesta ARP al dispositivo que dirige todos los paquetes destinados a una determinada dirección IP para que vayan a una dirección MAC diferente.
Para evitar la suplantación de MAC mediante ARP gratuito y otros tipos de suplantación de identidad, los conmutadores examinan las respuestas ARP a través de DAI.
Inspección ARP dinámica
DAI examina las solicitudes y respuestas ARP en la LAN y valida los paquetes ARP. El conmutador intercepta paquetes ARP desde un puerto de acceso y los valida con la base de datos de espionaje DHCP. Si ninguna entrada IP-MAC en la base de datos corresponde a la información del paquete ARP, DAI descarta el paquete ARP y la caché ARP local no se actualiza con la información de ese paquete. DAI también descarta paquetes ARP cuando la dirección IP en el paquete no es válida. Los paquetes de sonda ARP no se someten a inspección ARP dinámica. El conmutador siempre reenvía dichos paquetes.
Junos OS para conmutadores serie EX y la serie QFX utiliza DAI para paquetes ARP recibidos en los puertos de acceso, ya que estos puertos no son de confianza de forma predeterminada. De forma predeterminada, los puertos de troncalización son de confianza y, por lo tanto, los paquetes ARP omiten DAI en ellos.
DAI se configura para cada VLAN, no para cada interfaz (puerto). De forma predeterminada, DAI está deshabilitado para todas las VLAN.
Si configura una interfaz para que sea un puerto de confianza DHCP, también es de confianza para los paquetes ARP.
Si el dispositivo de conmutación es un conmutador de la serie EX y utiliza Junos OS compatible con el estilo de configuración Enhanced Layer 2 Software (ELS), consulte Habilitación de un servidor DHCP de confianza (ELS) para obtener información sobre cómo configurar una interfaz de acceso para que sea un puerto de confianza DHCP.
Para los paquetes dirigidos al dispositivo de conmutación al que está conectado un dispositivo de red, las consultas ARP se difunden en la VLAN. Las respuestas ARP a esas consultas se someten a la verificación DAI.
Para DAI, todos los paquetes ARP se atrapan en el motor de reenvío de paquetes. Para evitar la sobrecarga de la CPU, los paquetes ARP destinados al motor de enrutamiento tienen una velocidad limitada.
Si el servidor DHCP deja de funcionar y se agota el tiempo de concesión para una entrada IP-MAC para un paquete ARP previamente válido, ese paquete se bloquea.
Priorización de paquetes inspeccionados
La priorización de paquetes inspeccionados no se admite en la serie QFX ni en el conmutador EX4600.
Puede usar colas y clases de reenvío de clase de servicio (CoS) para priorizar paquetes DAI para una VLAN especificada. Este tipo de configuración coloca los paquetes inspeccionados para esa VLAN en la cola de salida, que usted especifique, lo que garantiza que el procedimiento de seguridad no interfiera con la transmisión de tráfico de alta prioridad.
Habilitación de la inspección ARP dinámica (ELS)
Esta tarea utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Habilitación de la inspección dinámica de ARP (no ELS).
La inspección ARP dinámica (DAI) protege a los conmutadores contra la suplantación de ARP. DAI inspecciona los paquetes ARP en la LAN y utiliza la información de la base de datos de espionaje DHCP del conmutador para validar los paquetes ARP y protegerse contra el envenenamiento de caché ARP.
Antes de poder habilitar DAI en una VLAN, debe configurar la VLAN. Consulte Configuración de VLAN para conmutadores de la serie EX compatibles con ELS (procedimiento de CLI).
Para habilitar DAI en una VLAN mediante la CLI:
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set arp-inspection
Ver también
Habilitación de la inspección de ARP dinámica (no ELS)
Esta tarea utiliza Junos OS para conmutadores serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador utiliza software que admite ELS, consulte Habilitación de la inspección ARP dinámica (ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
La inspección ARP dinámica (DAI) protege a los conmutadores contra la suplantación de ARP. DAI inspecciona los paquetes ARP en la LAN y utiliza la información de la base de datos de espionaje DHCP del conmutador para validar los paquetes ARP y protegerse contra el envenenamiento de caché ARP.
Habilitación de DAI en una VLAN
DAI se configura para cada VLAN, no para cada interfaz (puerto). De forma predeterminada, DAI está deshabilitado para todas las VLAN.
Para habilitar DAI en una VLAN o en todas las VLAN:
En una sola VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
En todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
Habilitación de DAI en un dominio de puente
Consulte Configuración de un dominio de puente para configurar un dominio de puente si es necesario.
Para habilitar DAI en un dominio de puente:
[edit bridge-domains bridge-domain-name forwarding-options dhcp-security] user@device# set arp-inspection
Aplicación de clases de reenvío de CoS para priorizar los paquetes inspeccionados
Es posible que necesite usar la clase de servicio (CoS) para proteger los paquetes de aplicaciones críticas para que no se caigan durante períodos de congestión y demora de la red, y también puede necesitar las características de seguridad de puertos de la supervisión de DHCP en los mismos puertos a través de los cuales entran y salen esos paquetes críticos.
Para aplicar clases y colas de reenvío de CoS a paquetes DAI:
Comprobación de que DAI funciona correctamente
Propósito
Verifique que la inspección ARP dinámica (DAI) esté funcionando en el conmutador.
Acción
Envíe algunas solicitudes ARP desde dispositivos de red conectados al conmutador.
Mostrar la información de DAI:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
El resultado de ejemplo muestra el número de paquetes ARP recibidos e inspeccionados por interfaz, con una lista de cuántos paquetes pasaron y cuántos no pasaron la inspección en cada interfaz. El conmutador compara las solicitudes y respuestas ARP con las entradas de la base de datos de espionaje DHCP. Si una dirección MAC o IP en el paquete ARP no coincide con una entrada válida en la base de datos, el paquete se descarta.