Mitigar Ataques ARP

Mitigar Ataques ARP
5

Resumen

Se explica cómo configurar ARP inspection para mitigar los ataques ARP. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!

¡Bienvenido!: Este tema forma parte del Módulo 11 del curso de Cisco CCNA 2, para un mejor seguimiento del curso puede ir a la sección CCNA 2 para guiarte del índice.

1. Dynamic ARP Inspection

En un ataque típico el actor amenazante puede enviar respuestas ARP no solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la dirección IP de la puerta de enlace predeterminada. Para evitar la suplantación de ARP (ARP spoofing) y el envenenamiento por ARP (ARP poisoning) resultante, un switch debe garantizar que solo se transmitan ARP Requests y ARP Replies válidas.

La Inspección Dinámica de ARP/ Dynamic ARP Inspection (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP así:

  • No retransmitiendo respuestas/Replies ARP invalidas o gratuitas/gratuitous a otros puertos en la misma VLAN.
  • Intercepta todas las solicitudes/Requests y respuestas/Replies ARP en puertos no confiables.
  • Verificando cada paquete interceptado para un enlace válido de IP a MAC.
  • Descarte y registro de respuestas no válidas de ARP para evitar el envenenamiento por ARP.
  • Error-disabling la interfaz si se excede el número de paquetes ARP DAI configurado.

2. Pautas de Implementación DAI

Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, sigue estas pautas de implementación DAI

  • Habilita DHCP snooping globalmente.
  • Habilita DHCP snooping en las VLAN seleccionadas.
  • Habilita DAI en las VLANs seleccionadas.
  • Configura las interfaces de confianza para DHCP snooping y ARP inspection. (“no confiable” es la configuración predeterminada).

Generalmente, es aconsejable configurar todos los puertos de switch de acceso como no confiables y configurar todos los puertos de enlace ascendente que están conectados a otros switches como confiables.


La topología de la muestra en la figura identifica los puertos de confianza y los no confiables.

Pautas de Implementación DAI

Pautas de Implementación DAI

3. Ejemplo de Configuración DAI

En la topología anterior, S1 está conectado a dos usuarios en la VLAN 10. DAI será configurado para mitigar ataques ARP spoofing y ARP poisonig.

Como se muestra en el ejemplo, el DHCP snooping está habilitado porque el DAI requiere la tabla de enlace del DHCP snooping para funcionar. A continuación, el DHCP snooping y la inspección ARP están habilitados para los PCs en VLAN10. El puerto de enlace ascendente al router es de confianza, y por lo tanto, está configurado como fiable para el snooping DHCP y ARP inspection.

S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust

DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:

  • MAC de destino: comprueba la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo ARP.
  • MAC de origen: comprueba la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo ARP.
  • Dirección IP: comprueba el cuerpo ARP en busca de direcciones IP no válidas e inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones de multidifusión IP.

El comando de configuración global ip arp inspection validate {[src-mac] [dst-mac] [ip]} se utiliza para configurar DAI para descartar paquetes ARP cuando las direcciones IP no son válidas. Se puede usar cuando las direcciones MAC en el cuerpo de los paquetes ARP no coinciden con las direcciones que se especifican en el encabezado Ethernet. Nota como en el siguiente ejemplo solo un comando puede ser configurado. Por lo tanto, al ingresar varios comandos ip arp inspection validate se sobrescribe el comando anterior. Para incluir mas de un método de validación, ingrésalos en la misma línea de comando como se muestra y verifica en la siguiente salida.

S1(config)# ip arp inspection validate ? 
  dst-mac  Validate destination MAC address
  ip       Validate IP addresses
  src-mac  Validate source MAC address
S1(config)# ip arp inspection validate src-mac 
S1(config)# ip arp inspection validate dst-mac 
S1(config)# ip arp inspection validate ip 
S1(config)# do show run | include validate
ip arp inspection validate ip 
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate 
ip arp inspection validate src-mac dst-mac ip 
S1(config)#

4. Comprobador de Sintaxis: Mitigar Ataques ARP

Implementa DAI para un switch basado en la siguiente topología y requerimientos específicos.

Mitigar Ataques ARP con DAI

Mitigar Ataques ARP con DAI

Te encuentras actualmente en una sesión en S1. Habilita DHCP snooping globalmente para el switch.

S1(config)#ip dhcp snooping

Ingresa al modo de configuración de la interfaz para g0/1 – 2, confía en las interfaces para DHCP snooping y DAI, y luego regresa al modo de configuración global.

S1(config)#interface range g0/1 - 2
S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#ip arp inspection trust
S1(config-if-range)#exit

Habilita la DHCP snooping y DAI para las VLAN 10,20,30-49.

S1(config)#ip dhcp snooping vlan 10,20,30-49
S1(config)#ip arp inspection vlan 10,20,30-49
S1(config)#

Has configurado correctamente DAI para el switch.

Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.

Deja un Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

¿Quieres aprobar la certificación Cisco CCNA?Sí, quiero!
+ +