Compreensão e uso da inspeção dinâmica de ARP (DAI)
A inspeção dinâmica de ARP (DAI) protege dispositivos de comutação contra spoofing de pacotes do Address Resolution Protocol (ARP) (também conhecido como envenenamento por ARP ou envenenamento por cache ARP).
O DAI inspeciona ARPs na LAN e usa as informações no banco de dados de espionagem DHCP no switch para validar pacotes ARP e proteger contra spoofing de ARP. As solicitações e respostas de ARP são comparadas com as entradas no banco de dados de espionagem DHCP, e as decisões de filtragem são tomadas com base nos resultados dessas comparações. Quando um invasor tenta usar um pacote ARP forjado para falsificar um endereço, o switch compara o endereço com as entradas no banco de dados. Se o endereço de controle de acesso de mídia (MAC) ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados de espionagem DHCP, o pacote será descartado
Entendendo spoofing e inspeção de ARP
Os pacotes ARP são enviados ao Mecanismo de Roteamento e são limitados por taxa para proteger o dispositivo de comutação contra sobrecarga de CPU.
- Protocolo de resolução de endereços
- ARP Spoofing
- Inspeção dinâmica de ARP
- Priorização de pacotes inspecionados
Protocolo de resolução de endereços
O envio de pacotes IP em uma rede multi-acesso requer mapeamento de um endereço IP para um endereço MAC Ethernet.
As LANs Ethernet usam ARP para mapear endereços MAC em endereços IP.
O dispositivo de comutação mantém esse mapeamento em um cache que consulta ao encaminhar pacotes para dispositivos de rede. Se o cache ARP não conter uma entrada para o dispositivo de destino, o host (o cliente DHCP) transmite uma solicitação de ARP para o endereço desse dispositivo e armazena a resposta no cache.
ARP Spoofing
A spoofing de ARP é uma maneira de iniciar ataques de homem no meio. O invasor envia um pacote ARP que falsifica o endereço MAC de outro dispositivo na LAN. Em vez do dispositivo de comutação enviar tráfego para o dispositivo de rede adequado, ele envia o tráfego para o dispositivo com o endereço falsificado que está se passando pelo dispositivo adequado. Se o dispositivo de personificação for a máquina do invasor, o invasor recebe todo o tráfego do switch que deve ter ido para outro dispositivo. O resultado é que o tráfego do dispositivo de comutação está mal direcionado e não pode chegar ao seu destino adequado.
Um tipo de spoofing de ARP é o ARP gratuito, que é quando um dispositivo de rede envia uma solicitação de ARP para resolver seu próprio endereço IP. Em operação lan normal, mensagens ARP gratuitas indicam que dois dispositivos têm o mesmo endereço MAC. Eles também são transmitidos quando uma placa de interface de rede (NIC) em um dispositivo é alterada e o dispositivo é reiniciado, para que outros dispositivos na LAN atualizem seus caches ARP. Em situações maliciosas, um invasor pode envenenar o cache ARP de um dispositivo de rede enviando uma resposta ARP ao dispositivo que direciona todos os pacotes destinados a um determinado endereço IP para ir a um endereço MAC diferente.
Para evitar a spoofing mac por meio de ARP gratuito e através de outros tipos de spoofing, os switches examinam as respostas de ARP através do DAI.
Inspeção dinâmica de ARP
O DAI examina as solicitações e respostas de ARP na LAN e valida pacotes ARP. O switch intercepta pacotes ARP de uma porta de acesso e os valida no banco de dados de espionagem DHCP. Se nenhuma entrada IP-MAC no banco de dados corresponder às informações no pacote ARP, o DAI derruba o pacote ARP e o cache ARP local não é atualizado com as informações nesse pacote. O DAI também derruba pacotes ARP quando o endereço IP no pacote é inválido. Os pacotes de sondagem ARP não estão sujeitos à inspeção dinâmica de ARP. O switch sempre encaminha esses pacotes.
O Junos OS para switches da Série EX e a Série QFX usa DAI para pacotes ARP recebidos em portas de acesso porque essas portas não são confiáveis por padrão. As portas de tronco são confiáveis por padrão e, portanto, os pacotes ARP ignoram o DAI neles.
Você configura o DAI para cada VLAN, não para cada interface (porta). Por padrão, o DAI é desativado para todas as VLANs.
Se você definir uma interface como uma porta confiável para DHCP, ela também é confiável para pacotes ARP.
Se o seu dispositivo de comutação for um switch da Série EX e usar o Junos OS com suporte para o estilo de configuração do Software de Camada 2 (ELS), consulte Habilitar um servidor DHCP (ELS) confiável para obter informações sobre a configuração de uma interface de acesso para ser uma porta confiável de DHCP.
Para pacotes direcionados ao dispositivo de comutação ao qual um dispositivo de rede está conectado, as consultas de ARP são transmitidas na VLAN. As respostas de ARP a essas consultas estão sujeitas à verificação da DAI.
Para o DAI, todos os pacotes ARP ficam presos ao Mecanismo de encaminhamento de pacotes. Para evitar a sobrecarga da CPU, os pacotes de ARP destinados ao Mecanismo de Roteamento são limitados por taxa.
Se o servidor DHCP cair e o tempo de locação de uma entrada IP-MAC para um pacote ARP previamente válido acabar, esse pacote será bloqueado.
Priorização de pacotes inspecionados
Priorizar pacotes inspecionados não é suportado na Série QFX e no switch EX4600.
Você pode usar aulas e filas de encaminhamento de classe de serviço (CoS) para priorizar pacotes DEI para uma VLAN especificada. Esse tipo de configuração coloca pacotes inspecionados para aquela VLAN na fila de saída, que você especifica, garantindo que o procedimento de segurança não interfira na transmissão de tráfego de alta prioridade.
Habilitando a inspeção dinâmica de ARP (ELS)
Essa tarefa usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, consulte Habilitar a inspeção dinâmica de ARP (não-ELS).
A inspeção dinâmica de ARP (DAI) protege os switches contra spoofing de ARP. O DAI inspeciona pacotes de ARP na LAN e usa as informações no banco de dados de espionagem DHCP no switch para validar pacotes ARP e proteger contra intoxicação por cache ARP.
Antes de habilitar a DAI em uma VLAN, você deve configurar a VLAN. Consulte a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI).
Para habilitar a DAI em uma VLAN usando a CLI:
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set arp-inspection
Veja também
Habilitando a inspeção dinâmica de ARP (não-ELS)
Essa tarefa usa o Junos OS para switches da Série EX que não oferecem suporte ao estilo de configuração do Software de Camada 2 (ELS). Se o seu switch executa um software que oferece suporte ao ELS, consulte Ativar a inspeção dinâmica de ARP (ELS). Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
A inspeção dinâmica de ARP (DAI) protege os switches contra spoofing de ARP. O DAI inspeciona pacotes de ARP na LAN e usa as informações no banco de dados de espionagem DHCP no switch para validar pacotes ARP e proteger contra intoxicação por cache ARP.
Habilitando o DAI em uma VLAN
Você configura o DAI para cada VLAN, não para cada interface (porta). Por padrão, o DAI é desativado para todas as VLANs.
Para habilitar o DAI em uma VLAN ou todas as VLANs:
Em uma única VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
Em todas as VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
Habilitando a DAI em um domínio de ponte
Consulte a configuração de um domínio de ponte para configurar um domínio de ponte, se necessário.
Para habilitar o DAI em um domínio de ponte:
[edit bridge-domains bridge-domain-name forwarding-options dhcp-security] user@device# set arp-inspection
Aplicar aulas de encaminhamento cos para priorizar pacotes inspecionados
Você pode precisar usar a classe de serviço (CoS) para proteger os pacotes contra aplicativos críticos contra a queda durante períodos de congestionamento e atraso da rede, e você também pode precisar dos recursos de segurança de porta do DHCP bisbilhotando as mesmas portas pelas quais esses pacotes críticos estão entrando e saindo.
Para aplicar aulas de encaminhamento de CoS e filas aos pacotes da DAI:
Verificar se o DAI está funcionando corretamente
Propósito
Verifique se a inspeção dinâmica de ARP (DAI) está funcionando no switch.
Ação
Envie algumas solicitações de ARP de dispositivos de rede conectados ao switch.
Exibir as informações da DAI:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
A saída de amostra mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O switch compara as solicitações de ARP e as respostas com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados, o pacote será descartado.