cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel

Entendendo o Dynamic ARP Inspection

Entendendo o Dynamic ARP Inspection

O ARP fornece comunicação IP dentro de um domínio de broadcast de camada 2 mapeando um endereço IP para um endereço MAC. Por exemplo, o Host B quer enviar informações para o Host A, mas não tem o endereço MAC do Host A em seu ARP cache. O Host B gera uma mensagem de broadcast para todos os hosts dentro do domínio de broadcast para obter o endereço MAC associado ao endereço IP do host A. Todos os hosts dentro do domínio de broadcast recebem o ARP request, e o Host A responde com seu endereço MAC. No entanto, devido ao ARP permitir um gratuitous reply de um host, mesmo se um ARP request não tiver sido recebido, pode ocorrer um ataque de ARP spoofing ou envenenamento de ARP cache. Após o ataque, todo o tráfego do dispositivo sob ataque flui através do computador do atacante e, em seguida, para o router, switch ou host.

Um usuário malicioso pode atacar hosts, switches e routers conectados à sua rede de Camada 2 envenenando os ARP caches dos sistemas conectados à sub-rede e interceptando o tráfego destinado a outros hosts na sub-rede. Figura 23-1 mostra um exemplo do envenenamento de ARP cache.

Figura 23-1 Envenenamento de ARP Cache

231.jpg

Os Hosts A, B e C estão conectados nas interfaces A, B e C do switch, as quais estão na mesma sub-rede. Os endereços IP e MAC deles estão entre parênteses; por exemplo, o Host A utiliza o endereço IP IA e o endereço MAC MA. Quando o Host A precisa se comunicar com o Host B na camada IP, ele realiza um ARP request para o endereço MAC associado ao endereço IP IB. Quando o switch e o Host B recebem o ARP request, eles populam seus ARP caches com um ARP binding para um host com um endereço IP IA e um endereço MAC MA; por exemplo, o endereço IP IA está associado ao endereço MAC MA. Quando o Host B responde, o switch e o Host A populam suas ARP caches com uma ligação de um host com o endereço IP IB e o endereço MAC MB.

O Host C pode envenenar os ARP caches do switch, o Host A e o Host B produzem broadcast de ARP responses com ligações para um host com um endereço IP de IA e um endereço MAC de MC. Hosts com ARP caches envenenadas usam o endereço MAC MC como o endereço MAC de destino para o tráfego destinado a IA ou IB. Isto significa que o Host C intercepta o tráfego. Devido ao fato do Host C conhecer os verdadeiros endereços MAC associados com IA e IB, ele pode encaminhar o tráfego interceptado para os Hosts usando o endereço MAC correto como o destino. O Host C inseriu-se no fluxo de tráfego do Host A para o Host B, o clássico ataque man-in-the middle.

O Dynamic ARP inspection é um recurso de segurança que valida os pacotes ARPs em uma rede. Ele intercepta, grava as operações que ocorre na rede e descarta os pacotes ARP com ligações inválidas IP-para-MAC. Essa capacidade protege a rede de certos man-in-the-middle.

O Dynamic ARP inspection assegura que apenas os ARP request e response válidos sejam retransmitidos. O switch executa as seguintes atividades:

• Intercepta todo ARP request and response nas portas não confiáveis

• Verifica se cada um desses pacotes interceptados tem uma ligação valida de endereço IP-para-MAC antes de atualizar o cache ARP local ou encaminhar o pacote para o destino adequado

• Descarta pacotes ARP inválidos

Dynamic ARP inspection determina a validade de um pacote ARP baseado na ligação valida de endereço IP-para-MAC armazenados em uma base de dados confiável, o DHCP snooping binding database. Este banco de dados é construído pelo DHCP snooping se o mesmo estiver ativado nas VLANs e no switch. Se o pacote ARP é recebido em uma interface confiável, o switch encaminha o pacote sem qualquer verificação. Em interfaces não confiáveis​​, o switch encaminha o pacote somente se ele for válido.

Você habilita o dynamic ARP inspection por VLAN usando o comando ip arp inspection vlan vlan-range no modo de configuração global. Para obter informações de configuração, consulte a seção "Configuring Dynamic ARP Inspection in DHCP Environments".

Em ambientes sem DHCP, o dynamic ARP inspection pode validar os pacotes ARP contra as ARP access control lists (ACLs)  configuradas para hosts com endereço IP configurado estaticamnete. Você define uma ARP ACL usando o comando arp access-list acl-name no modo de configuração global. Para obter informações de configuração, consulte a seção "Configuring ARP ACLs for Non-DHCP Environments". O switch registra a perda de pacotes. Para mais informações sobre o buffer de log, consulte a seção "Logging of Dropped Packets".

Você pode configurar o dynamic ARP inspection para descartar os pacotes ARP quando os seus endereços IP     forem inválidos ou quando os endereços MAC no corpo dos pacotes ARP não corresponderem aos endereços especificados no Ethernet header. Use o comando ip arp inspection validate {[src-mac] [dst-mac] [ip]} no modo de configuração global. Para mais informações, consulte a seção "Performing Validation Checks".

Estados de confiança da interface e segurança da rede

O Dynamic ARP inspection associa um estado de confiança para cada interface no switch. Pacotes que chegam em interfaces de confiança ignoram todas verificações de validação do dynamic ARP inspection, e os que chegam em interfaces não confiáveis ​​são submetidos ao processo de validação do dynamic ARP inspection.

Em uma configuração típica de rede, você configura todas as portas do switch que estão conectadas a portas host como não confiáveis e configura todas as portas do switch que estão conectadas a switches como confiáveis. Com esta configuração, todos os pacotes ARP que entram na rede a partir de um switch não passam pela verificação de segurança. Nenhuma outra validação é necessária de qualquer outro lugar na VLAN ou na rede. Você configura o parâmetro trust usando o comando ip arp inspection trust no modo de configuração de interface.


Caution   Use a configuração estado de confiança com cuidado. Configurar interfaces como não confiáveis quando deveriam ser confiáveis pode resultar em uma perda de conectividade.


Na Figura 23-2, suponha que tanto o Switch A e o Switch B estão executando o dynamic ARP inspection na VLAN que inclui o Host 1 e o Host 2. Se o Host 1 e 2 adquirem seus endereços IP do servidor DHCP conectado ao Switch A, apenas o Switch A associa o endereço IP ao MAC do Host 1. Portanto, se a interface entre o Switch A e o Switch B não são confiáveis, os pacotes ARP do host 1 são descartados pelo Switch B. A conectividade  entre o Host 1 Host 2 é perdida.

Figura 23-2 Validação de pacote ARP numa VLAN com o Dynamic ARP Inspection habilitado

232.jpg

Configurando as interfaces para serem confiáveis ​​quando elas realmente não são confiáveis, deixa uma falha de segurança na rede. Se o Switch A não estiver executando o dynamic ARP inspection, o Host 1 pode facilmente envenenar o ARP cache do Switch B (e o Host 2, se o link entre os switches estiverem configurados como confiável). Esta condição pode ocorrer mesmo se o Switch B estiver executado o dynamic ARP inspection.

Dynamic ARP inspection assegura que os hosts (em interfaces não confiáveis​​) ligados a um switch que esteja executando o dynamic ARP inspection não envenenem o ARP cache de outros hosts da rede. No entanto, dynamic ARP inspection não impede hosts de outras partes da rede de envenenar os caches dos hosts que estão conectados a um switch executando dynamic ARP inspection.

Nos casos em que alguns switches de uma VLAN que executa o dynamic ARP inspection e outros switches não, configure as interfaces de ligação dos switches como não confiável. No entanto, para validar as ligações dos pacotes de switches que não executam o dynamic ARP inspection, configure o switch que executa o dynamic ARP inspection com ARP ACLs. Quando você não pode determinar essas ligações, na camada 3, isole os switches que executam o dynamic ARP inspection dos switches que não executam. Para obter informações de configuração, consulte a seção "Configuring ARP ACLs for Non-DHCP Environments" section.


Note  Dependendo da configuração do servidor DHCP e da rede, pode não ser possível validar um determinado pacote ARP em todos os switches da VLAN.


Taxa de limite de pacotes ARP

A CPU do switch executa verificações de validação usando o dynamic ARP inspection, portanto, o número de entrada de pacotes ARP é a taxa limite para evitar um ataque de denial-of-service. Por padrão, a taxa para interfaces não confiáveis ​​é de 15 pacotes por segundo (pps). Interfaces de confiança não possuem taxa de limite. Você pode alterar essa configuração usando o comando ip arp inspection limit no modo de configuração de interface.

Quando a taxa de entrada de pacotes ARP excede o limite configurado, o switch coloca a porta em error-disabled state. A porta permanece nesse estado até você intervir. Você pode usar o comando errdisable recovery no modo de configuração global para habilitar o error disable recovery, com isso às portas retornarão automaticamente ao estado anterior depois de um período de tempo especificado.


Note O limite de velocidade para um EtherChannel é aplicado separadamente para cada switch em uma pilha. Por exemplo, se um limite de 20 pps está configurado no EtherChannel, cada switch com portas no EtherChannel pode transportar até 20 pps. Se qualquer switch exceder o limite, todo EtherChannel é colocado em error-disabled state.


Para obter informações de configuração, consulte a seção "Limiting the Rate of Incoming ARP Packets".

Prioridade relativa de ARP ACLs e entradas do DHCP Snooping

Dynamic ARP inspection usa a base de dados ligada ao DHCP snooping para a lista de endereços válidos IP-para-MAC. As ARP ACLs tem precedência sobre as entradas do banco de dados ligada ao DHCP snooping. O switch utiliza ACLs somente se você configurá-las usando o comando ip arp inspection filter vlan no modo de configuração global. O primeiro switch compara os pacotes ARP com as ARP ACLs configuradas. Se a ARP ACL negar o pacote ARP, o switch também nega o pacote, mesmo se uma ligação válida existir no banco de dados populada pelo DHCP snooping.

Registro de Pacotes Descartados

Quando o switch descarta um pacote, ele coloca uma entrada no buffer de log e gera então as mensagens do sistema numa base de taxa controlada. Após a mensagem ser gerada, o switch limpa a entrada do log buffer. Cada entrada de log contém informações de fluxo, tais como VLAN de recebimento, número da porta, endereços IP e MAC de origem e destino.

Você usa o comando  ip arp inspection log-buffer no modo de configuração global para configurar o número de entradas no buffer e o número de entradas necessárias no intervalo especificado para gerar mensagens do sistema. Você especifica o tipo de pacotes que são registrados usando o comando ip arp inspection vlan logging no modo de configuração global. Para obter informações de configuração, consulte a seção "Configuring the Log Buffer" section.

Referências:

3845
Apresentações
0
Útil
0
Comentários