Mitigar ataques ARP
Mitigar ataques ARP

Mitigar Ataques ARP

Inspeção ARP Dinâmica

Em um ataque ARP típico, um agente de ameaça pode enviar respostas ARP não solicitadas a outros hosts na sub-rede com o endereço MAC do agente de ameaça e o endereço IP do gateway padrão. Para evitar o spoofing de ARP e o envenenamento de ARP resultante, um switch deve garantir que apenas solicitações e respostas ARP válidas sejam retransmitidas.

A inspeção dinâmica de ARP (DAI) requer DHCP snooping e ajuda a prevenir ataques ARP por:

  • Não retransmitindo respostas ARP inválidas ou gratuitas para outras portas na mesma VLAN.
  • Interceptando todas as solicitações e respostas ARP em portas não confiáveis.
  • Verificar cada pacote interceptado para uma ligação IP-a-MAC válida.
  • Descartando e registrando Respostas ARP vindas de inválidas para prevenir envenenamento por ARP.
  • Desabilitando a interface por erro se o número configurado de pacotes ARP da DAI for excedido.

Diretrizes de implementação DAI

Para mitigar as chances de spoofing e envenenamento de ARP, siga estas diretrizes de implementação de DAI:

  • Habilite a espionagem de DHCP globalmente.
  • Habilite DHCP snooping em VLANs selecionadas.
  • Habilite DAI em VLANs selecionadas.
  • Configure interfaces confiáveis ​​para rastreamento de DHCP e inspeção ARP.

Geralmente, é aconselhável configurar todas as portas do switch de acesso como não confiáveis ​​e todas as portas de uplink conectadas a outros switches como confiáveis.

A topologia de amostra na figura identifica portas confiáveis ​​e não confiáveis.

DAI Implementation Guidelines

Exemplo de configuração DAI

Na topologia anterior, S1 estava conectando dois usuários na VLAN 10. A DAI será configurada para mitigar contra ataques de spoofing e envenenamento de ARP.

Conforme mostrado no exemplo, a detecção de DHCP está habilitada porque a DAI requer que a tabela de ligação de detecção de DHCP funcione. Em seguida, o snooping DHCP e a inspeção ARP são habilitados para os PCs na VLAN10. A porta de uplink para o roteador é confiável e, portanto, está configurada como confiável para espionagem de DHCP e inspeção ARP.

S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust

A DAI também pode ser configurada para verificar os endereços MAC e IP de destino ou de origem:

  • MAC de destino – Verifica o endereço MAC de destino no cabeçalho Ethernet em relação ao endereço MAC de destino no corpo ARP.
  • Source MAC – Verifica o endereço MAC de origem no cabeçalho Ethernet em relação ao endereço MAC do remetente no corpo ARP.
  • Endereço IP – Verifica o corpo ARP em busca de endereços IP inválidos e inesperados, incluindo os endereços 0.0.0.0, 255.255.255.255 e todos os endereços IP multicast.

O comando de configuração global ip arp inspection validate {[src-mac] [dst-mac] [ip]} é usado para configurar a DAI para descartar pacotes ARP quando os endereços IP são inválidos. Ele pode ser usado quando os endereços MAC no corpo dos pacotes ARP não correspondem aos endereços especificados no cabeçalho Ethernet. Observe no exemplo a seguir como apenas um comando pode ser configurado. Portanto, inserir vários comandos de ip arp inspection validate o comando anterior. Para incluir mais de um método de validação, insira-os na mesma linha de comando conforme mostrado e verificado na saída a seguir.

S1(config)# ip arp inspection validate ? 
  dst-mac  Validate destination MAC address
  ip       Validate IP addresses
  src-mac  Validate source MAC address
S1(config)# ip arp inspection validate src-mac 
S1(config)# ip arp inspection validate dst-mac 
S1(config)# ip arp inspection validate ip 
S1(config)# do show run | include validate
ip arp inspection validate ip 
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate 
ip arp inspection validate src-mac dst-mac ip 
S1(config)#

Verificador de sintaxe – Mitigar ataques ARP

Implemente a DAI para um switch com base na seguinte topologia e requisitos especificados.

DAI Configuration Example

No momento, você está conectado ao S1. Habilite o rastreamento de DHCP globalmente para o switch.

S1(config)#ip dhcp snooping

Entre no modo de configuração de interface para g0 / 1 – 2, confie nas interfaces para rastreamento DHCP e DAI e, em seguida, retorne ao modo de configuração global.

S1(config)#interface range g0/1 - 2
S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#ip arp inspection trust
S1(config-if-range)#exit

Habilite DHCP snooping e DAI para VLANs 10,20,30-49.

S1(config)#ip dhcp snooping vlan 10,20,30-49
S1(config)#ip arp inspection vlan 10,20,30-49
S1(config)#

Você configurou a DAI com êxito para o switch.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

CCNA: Introdução às RedesCurso