Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción y uso de inspección ARP dinámica (DAI)

La inspección arp dinámica (DAI) protege los dispositivos de conmutación contra la suplantación de paquetes del Protocolo de resolución de direcciones (ARP) (también conocido como envenenamiento ARP o envenenamiento de caché ARP).

La DAI inspecciona los ARP en la LAN y utiliza la información en la base de datos de espionaje DHCP del conmutador para validar paquetes ARP y proteger contra la suplantación ARP. Las solicitudes y respuestas ARP se comparan con las entradas de la base de datos de espionaje DHCP, y las decisiones de filtrado se toman en función de los resultados de esas comparaciones. Cuando un atacante intenta usar un paquete ARP falsificado para suplantar una dirección, el conmutador compara la dirección con las entradas de la base de datos. Si la dirección IP o la dirección IP del control de acceso de medios (MAC) en el paquete ARP no coincide con una entrada válida en la base de datos de espionaje DHCP, el paquete se pierde

Descripción de la suplantación e inspección ARP

Los paquetes ARP se envían al motor de enrutamiento y tienen una velocidad limitada para proteger el dispositivo de conmutación de la sobrecarga de la CPU.

Protocolo de resolución de direcciones

Para enviar paquetes IP en una red de acceso múltiple, es necesario asignar una dirección IP a una dirección MAC Ethernet.

Las LAN Ethernet utilizan ARP para asignar direcciones MAC a direcciones IP.

El dispositivo de conmutación mantiene esta asignación en una caché que consulta cuando reenvía paquetes a dispositivos de red. Si la caché ARP no contiene una entrada para el dispositivo de destino, el host (el cliente DHCP) difunde una solicitud ARP para la dirección de ese dispositivo y almacena la respuesta en la memoria caché.

Suplantación ARP

La suplantación ARP es una forma de iniciar ataques del hombre en el medio. El atacante envía un paquete ARP que suplanta la dirección MAC de otro dispositivo en la LAN. En lugar del dispositivo de conmutación que envía tráfico al dispositivo de red adecuado, envía el tráfico al dispositivo con la dirección suplantada que suplanta el dispositivo adecuado. Si el dispositivo que suplanta es la máquina del atacante, el atacante recibe todo el tráfico del conmutador que debe haber ido a otro dispositivo. El resultado es que el tráfico del dispositivo de conmutación está mal dirigido y no puede llegar a su destino adecuado.

Un tipo de suplantación ARP es ARP gratuito, que es cuando un dispositivo de red envía una solicitud ARP para resolver su propia dirección IP. En la operación LAN normal, los mensajes ARP gratuitos indican que dos dispositivos tienen la misma dirección MAC. También se difunden cuando se cambia una tarjeta de interfaz de red (NIC) en un dispositivo y se reinicia el dispositivo, de modo que otros dispositivos de la LAN actualicen sus cachés ARP. En situaciones maliciosas, un atacante puede envenenar la caché ARP de un dispositivo de red mediante el envío de una respuesta ARP al dispositivo que dirige todos los paquetes destinados a una dirección IP determinada para ir a una dirección MAC diferente.

Para evitar la suplantación de MAC mediante ARP gratuito y a través de otros tipos de suplantación, los conmutadores examinan las respuestas ARP a través de DAI.

Inspección ARP dinámica

La DAI examina las solicitudes y respuestas ARP en la LAN y valida los paquetes ARP. El conmutador intercepta paquetes ARP desde un puerto de acceso y los valida en la base de datos de espionaje DHCP. Si ninguna entrada IP-MAC en la base de datos corresponde a la información del paquete ARP, la DAI descarta el paquete ARP y la caché ARP local no se actualiza con la información de ese paquete. La DAI también descarta paquetes ARP cuando la dirección IP del paquete no es válida. Los paquetes de sondeo ARP no se someten a inspección ARP dinámica. El conmutador siempre reenvía estos paquetes.

Junos OS para conmutadores de la serie EX y la serie QFX utilizan DAI para paquetes ARP recibidos en puertos de acceso, ya que estos puertos no son de confianza de forma predeterminada. Los puertos de troncalización son de confianza de forma predeterminada y, por lo tanto, los paquetes ARP omiten la DAI en ellos.

Configure la DAI para cada VLAN, no para cada interfaz (puerto). De forma predeterminada, la DAI está deshabilitada para todas las VLAN.

Si establece una interfaz como un puerto de confianza DHCP, también es de confianza para los paquetes ARP.

Nota:
  • Si el dispositivo de conmutación es un conmutador de la serie EX y utiliza Junos OS con compatibilidad con el estilo de configuración Enhanced Layer 2 Software (ELS), consulte Habilitación de un servidor DHCP de confianza (ELS) para obtener información acerca de cómo configurar una interfaz de acceso para que sea un puerto de confianza DHCP.

En el caso de los paquetes dirigidos al dispositivo de conmutación al que está conectado un dispositivo de red, las consultas ARP se difunden en la VLAN. Las respuestas ARP a esas consultas se someten a la comprobación dai.

En el caso de la DAI, todos los paquetes ARP están atrapados en el motor de reenvío de paquetes. Para evitar la sobrecarga de LA CPU, los paquetes ARP destinados al motor de enrutamiento tienen una velocidad limitada.

Si el servidor DHCP se cae y se agota el tiempo de concesión de una entrada IP-MAC para un paquete ARP válido anteriormente, ese paquete se bloquea.

Priorización de paquetes inspeccionados

Nota:

No se admite la priorización de paquetes inspeccionados en la serie QFX y el conmutador EX4600.

Puede usar clases de reenvío de clase de servicio (CoS) y colas para priorizar los paquetes DAI para una VLAN especificada. Este tipo de configuración coloca paquetes inspeccionados para esa VLAN en la cola de salida, que especifique, lo que garantiza que el procedimiento de seguridad no interfiera con la transmisión del tráfico de alta prioridad.

Habilitación de inspección ARP dinámica (ELS)

Nota:

Esta tarea utiliza Junos OS para conmutadores de la serie EX con soporte para el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Habilitación de inspección ARP dinámica (no ELS).

La inspección ARP dinámica (DAI) protege los conmutadores contra la suplantación ARP. La DAI inspecciona paquetes ARP en la LAN y utiliza la información en la base de datos de espionaje DHCP en el conmutador para validar paquetes ARP y proteger contra envenenamiento de caché ARP.

Para poder habilitar la DAI en una VLAN, debe configurar la VLAN. Consulte Configurar VLAN para conmutadores de la serie EX con compatibilidad con ELS (procedimiento de CLI).

Para habilitar la DAI en una VLAN mediante la CLI:

Habilitación de inspección ARP dinámica (no ELS)

Nota:

Esta tarea utiliza Junos OS para conmutadores de la serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software compatible con ELS, consulte Habilitación de inspección ARP dinámica (ELS). Para obtener más información sobre ELS, consulte Uso de la CLI mejorada de software de capa 2.

La inspección ARP dinámica (DAI) protege los conmutadores contra la suplantación ARP. La DAI inspecciona paquetes ARP en la LAN y utiliza la información en la base de datos de espionaje DHCP en el conmutador para validar paquetes ARP y proteger contra envenenamiento de caché ARP.

Habilitación de DAI en una VLAN

Configure la DAI para cada VLAN, no para cada interfaz (puerto). De forma predeterminada, la DAI está deshabilitada para todas las VLAN.

Para habilitar la DAI en una VLAN o todas las VLAN:

  • En una sola VLAN:

  • En todas las VLAN:

Habilitación de DAI en un dominio de puente

Consulte Configurar un dominio de puente para configurar un dominio de puente si es necesario.

  • Para habilitar la DAI en un dominio de puente:

Aplicación de clases de reenvío de CoS para priorizar paquetes inspeccionados

Es posible que deba usar la clase de servicio (CoS) para proteger los paquetes de aplicaciones críticas de que se caigan durante los períodos de congestión y retraso de la red, y también puede necesitar las funciones de seguridad de puerto de la inspección DHCP en los mismos puertos a través de los cuales esos paquetes críticos entran y salen.

Para aplicar clases y colas de reenvío de CoS a paquetes DAI:

  1. Cree una clase de reenvío definida por el usuario que se utilizará para priorizar paquetes DAI:
  2. Habilite la DAI en una VLAN específica o en todas las VLAN y aplique la clase de reenvío deseada en los paquetes DAI:
    • En una VLAN específica:

    • En todas las VLAN:

Verificar que la DAI funcione correctamente

Propósito

Verifique que la inspección ARP dinámica (DAI) esté funcionando en el conmutador.

Acción

Envíe algunas solicitudes ARP desde dispositivos de red conectados al conmutador.

Muestra la información de la DAI:

Significado

La salida de ejemplo muestra la cantidad de paquetes ARP recibidos e inspeccionados por interfaz, con una lista de cuántos paquetes pasaron y cuántos fallaron en la inspección en cada interfaz. El conmutador compara las solicitudes ARP y las respuestas con las entradas de la base de datos de espionaje DHCP. Si una dirección MAC o dirección IP en el paquete ARP no coincide con una entrada válida en la base de datos, el paquete se cae.