Logo CCNA Network
Logo CCNA Network
  • CCNA
  • CCNA 1 v7
  • CCNA 2 v7
  • CCNA 3 v7
  • Exames CCNA V7
  • Exame Dump
  • 0
    0
    Seu carrinho está vazio
    Procurar na Loja
Mitigar ataques ARP
Mitigar ataques ARP
CCNA 2
·3 min ler·0

Mitigar Ataques ARP

Tabla de Contenido

  • Inspeção ARP Dinâmica
  • Diretrizes de implementação DAI
  • Exemplo de configuração DAI
  • Verificador de sintaxe – Mitigar ataques ARP

Inspeção ARP Dinâmica

Em um ataque ARP típico, um agente de ameaça pode enviar respostas ARP não solicitadas a outros hosts na sub-rede com o endereço MAC do agente de ameaça e o endereço IP do gateway padrão. Para evitar o spoofing de ARP e o envenenamento de ARP resultante, um switch deve garantir que apenas solicitações e respostas ARP válidas sejam retransmitidas.

A inspeção dinâmica de ARP (DAI) requer DHCP snooping e ajuda a prevenir ataques ARP por:

  • Não retransmitindo respostas ARP inválidas ou gratuitas para outras portas na mesma VLAN.
  • Interceptando todas as solicitações e respostas ARP em portas não confiáveis.
  • Verificar cada pacote interceptado para uma ligação IP-a-MAC válida.
  • Descartando e registrando Respostas ARP vindas de inválidas para prevenir envenenamento por ARP.
  • Desabilitando a interface por erro se o número configurado de pacotes ARP da DAI for excedido.

Diretrizes de implementação DAI

Para mitigar as chances de spoofing e envenenamento de ARP, siga estas diretrizes de implementação de DAI:

  • Habilite a espionagem de DHCP globalmente.
  • Habilite DHCP snooping em VLANs selecionadas.
  • Habilite DAI em VLANs selecionadas.
  • Configure interfaces confiáveis ​​para rastreamento de DHCP e inspeção ARP.

Geralmente, é aconselhável configurar todas as portas do switch de acesso como não confiáveis ​​e todas as portas de uplink conectadas a outros switches como confiáveis.

A topologia de amostra na figura identifica portas confiáveis ​​e não confiáveis.

DAI Implementation Guidelines

Exemplo de configuração DAI

Na topologia anterior, S1 estava conectando dois usuários na VLAN 10. A DAI será configurada para mitigar contra ataques de spoofing e envenenamento de ARP.

Conforme mostrado no exemplo, a detecção de DHCP está habilitada porque a DAI requer que a tabela de ligação de detecção de DHCP funcione. Em seguida, o snooping DHCP e a inspeção ARP são habilitados para os PCs na VLAN10. A porta de uplink para o roteador é confiável e, portanto, está configurada como confiável para espionagem de DHCP e inspeção ARP.

S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust

A DAI também pode ser configurada para verificar os endereços MAC e IP de destino ou de origem:

  • MAC de destino – Verifica o endereço MAC de destino no cabeçalho Ethernet em relação ao endereço MAC de destino no corpo ARP.
  • Source MAC – Verifica o endereço MAC de origem no cabeçalho Ethernet em relação ao endereço MAC do remetente no corpo ARP.
  • Endereço IP – Verifica o corpo ARP em busca de endereços IP inválidos e inesperados, incluindo os endereços 0.0.0.0, 255.255.255.255 e todos os endereços IP multicast.

O comando de configuração global ip arp inspection validate {[src-mac] [dst-mac] [ip]} é usado para configurar a DAI para descartar pacotes ARP quando os endereços IP são inválidos. Ele pode ser usado quando os endereços MAC no corpo dos pacotes ARP não correspondem aos endereços especificados no cabeçalho Ethernet. Observe no exemplo a seguir como apenas um comando pode ser configurado. Portanto, inserir vários comandos de ip arp inspection validate o comando anterior. Para incluir mais de um método de validação, insira-os na mesma linha de comando conforme mostrado e verificado na saída a seguir.

S1(config)# ip arp inspection validate ? 
  dst-mac  Validate destination MAC address
  ip       Validate IP addresses
  src-mac  Validate source MAC address
S1(config)# ip arp inspection validate src-mac 
S1(config)# ip arp inspection validate dst-mac 
S1(config)# ip arp inspection validate ip 
S1(config)# do show run | include validate
ip arp inspection validate ip 
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate 
ip arp inspection validate src-mac dst-mac ip 
S1(config)#

Verificador de sintaxe – Mitigar ataques ARP

Implemente a DAI para um switch com base na seguinte topologia e requisitos especificados.

DAI Configuration Example

No momento, você está conectado ao S1. Habilite o rastreamento de DHCP globalmente para o switch.

S1(config)#ip dhcp snooping

Entre no modo de configuração de interface para g0 / 1 – 2, confie nas interfaces para rastreamento DHCP e DAI e, em seguida, retorne ao modo de configuração global.

S1(config)#interface range g0/1 - 2
S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#ip arp inspection trust
S1(config-if-range)#exit

Habilite DHCP snooping e DAI para VLANs 10,20,30-49.

S1(config)#ip dhcp snooping vlan 10,20,30-49
S1(config)#ip arp inspection vlan 10,20,30-49
S1(config)#

Você configurou a DAI com êxito para o switch.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

Tags
Configuração de Segurança do Switch
1 0 0 0
Dante Network
O meu objectivo é ensinar-vos sobre a certificação Cisco CCNA 200-301 sem palavras enfadonhas. A melhor maneira de aprender é aprender por si próprio e tentei tornar este blog o mais informativo possível - continue a ler para mais informações!
Relacionado
Solucionar Problemas de Configuração de Rota Padrão e Estática de IPv4
CCNA 2

Solucionar Problemas de Configuração de Rota Padrão e Estática de IPv4

Processamento de Pacotes com Rotas Estáticas
CCNA 2

Processamento de Pacotes com Rotas Estáticas

Deixe uma resposta Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Sobre o CCNA Network

O blog CCNA.Network é uma plataforma para ensinar ccna 200-301. Ideal para pessoas que querem passar nos seus exames ccna.

Aprender CCNA 200-301. CCNA Routing & Switching: Aclamada formação de certificação Cisco. Preparar para o exame CCNA 200-301. Obtenha um acesso livre agora!

Company

  • CCNA
  • Contactar
  • Sobre nós

Sections

  • Exame Dump
  • Versão Espanhol
  • Versão Inglês

Misc

  • Política de Cookies
  • Política de Privacidade
  • Termos e Condições
Logo CCNA Network
© Copyright CCNA-200-301 Criado Com ♥ por CCNA Network
Logo CCNA Network
  • Início
  • Blog
  • CCNA 1
  • CCNA 2
  • CCNA 3
  • Exames CCNA V7
  • Exame Dump
Comece a digitar para ver os resultados
Conceitos de segurança de rede Networking Hoje Endereçamento IPv4 Endereçamento IPv6 Configuração básica de switch e dispositivo final
Ver todos os resultados
Close

Buy me a cup of coffee

A ridiculous amount of coffee was consumed in the process of building this project. Add some fuel if you'd like to keep me going!

 
Cookies (testemunhos de conexão) Tal como a maioria dos grandes sítios Web, para que o nosso sítio possa funcionar corretamente, instalamos pontualmente no seu computador ou dispositivo móvel pequenos ficheiros denominados cookies ou testemunhos de conexão. Ler mais
Aceitar
Cookie Configurações
Configurações da caixa de cookies
Configurações da caixa de cookies

Configurações de privacidade

Decida quais os cookies que deseja permitir.O utilizador pode alterar estas configurações em qualquer momento. No entanto, por vezes pode obter visualizações ou resultados indisponíveis. Para obter informações sobre como excluir os cookies, consulte a função de ajuda do seu navegador.SAIBA MAIS SOBRE OS COOKIES QUE USAMOS.

Abaixo selecione uma das opções:

  • Block all
  • Essential
  • Functionality
  • Analytics
  • Advertising

Este site irá

  • Essencial: Lembrar configuração de permissão de cookies
  • Essencial: Permitir cookies de sessão
  • Essencial: Guarda informações inseridas em formulários de contacto, newsletter e outras formas em todas as páginas
  • Essencial: Acompanhe o que você insere no carrinho de compras
  • Essencial: Autenticar que você está logado em sua conta de usuário
  • Essencial: Lembre-se da versão do idioma que você selecionou

Este site não irá

  • Lembrar os seus detalhes de login
  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país
  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos
  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site irá

  • Essencial: Lembrar configuração de permissão de cookies
  • Essencial: Permitir cookies de sessão
  • Essencial: Guarda informações inseridas em formulários de contacto, newsletter e outras formas em todas as páginas
  • Essencial: Acompanhe o que você insere no carrinho de compras
  • Essencial: Autenticar que você está logado em sua conta de usuário
  • Essencial: Lembre-se da versão do idioma que você selecionou
  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país

Este site não irá

  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos
  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site irá

  • Essencial: Lembrar configuração de permissão de cookies
  • Essencial: Permitir cookies de sessão
  • Essencial: Guarda informações inseridas em formulários de contacto, newsletter e outras formas em todas as páginas
  • Essencial: Acompanhe o que você insere no carrinho de compras
  • Essencial: Autenticar que você está logado em sua conta de usuário
  • Essencial: Lembre-se da versão do idioma que você selecionou
  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país
  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos

Este site não irá

  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site irá

  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país
  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos
  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site não irá

  • Lembrar os seus detalhes de login
Guardar & Fechar