Mitigar Ataques ARP
Resumen
Se explica cómo configurar ARP inspection para mitigar los ataques ARP. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
¡Bienvenido!: Este tema forma parte del Módulo 11 del curso de Cisco CCNA 2, para un mejor seguimiento del curso puede ir a la sección CCNA 2 para guiarte del índice.
Tabla de Contenido
1. Dynamic ARP Inspection
En un ataque típico el actor amenazante puede enviar respuestas ARP no solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la dirección IP de la puerta de enlace predeterminada. Para evitar la suplantación de ARP (ARP spoofing) y el envenenamiento por ARP (ARP poisoning) resultante, un switch debe garantizar que solo se transmitan ARP Requests y ARP Replies válidas.
La Inspección Dinámica de ARP/ Dynamic ARP Inspection (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP así:
- No retransmitiendo respuestas/Replies ARP invalidas o gratuitas/gratuitous a otros puertos en la misma VLAN.
- Intercepta todas las solicitudes/Requests y respuestas/Replies ARP en puertos no confiables.
- Verificando cada paquete interceptado para un enlace válido de IP a MAC.
- Descarte y registro de respuestas no válidas de ARP para evitar el envenenamiento por ARP.
- Error-disabling la interfaz si se excede el número de paquetes ARP DAI configurado.
2. Pautas de Implementación DAI
Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, sigue estas pautas de implementación DAI
- Habilita DHCP snooping globalmente.
- Habilita DHCP snooping en las VLAN seleccionadas.
- Habilita DAI en las VLANs seleccionadas.
- Configura las interfaces de confianza para DHCP snooping y ARP inspection. (“no confiable” es la configuración predeterminada).
Generalmente, es aconsejable configurar todos los puertos de switch de acceso como no confiables y configurar todos los puertos de enlace ascendente que están conectados a otros switches como confiables.
La topología de la muestra en la figura identifica los puertos de confianza y los no confiables.
3. Ejemplo de Configuración DAI
En la topología anterior, S1 está conectado a dos usuarios en la VLAN 10. DAI será configurado para mitigar ataques ARP spoofing y ARP poisonig.
Como se muestra en el ejemplo, el DHCP snooping está habilitado porque el DAI requiere la tabla de enlace del DHCP snooping para funcionar. A continuación, el DHCP snooping y la inspección ARP están habilitados para los PCs en VLAN10. El puerto de enlace ascendente al router es de confianza, y por lo tanto, está configurado como fiable para el snooping DHCP y ARP inspection.
S1(config)# ip dhcp snooping S1(config)# ip dhcp snooping vlan 10 S1(config)# ip arp inspection vlan 10 S1(config)# interface fa0/24 S1(config-if)# ip dhcp snooping trust S1(config-if)# ip arp inspection trust
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
- MAC de destino: comprueba la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo ARP.
- MAC de origen: comprueba la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo ARP.
- Dirección IP: comprueba el cuerpo ARP en busca de direcciones IP no válidas e inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones de multidifusión IP.
El comando de configuración global ip arp inspection validate {[src-mac] [dst-mac] [ip]} se utiliza para configurar DAI para descartar paquetes ARP cuando las direcciones IP no son válidas. Se puede usar cuando las direcciones MAC en el cuerpo de los paquetes ARP no coinciden con las direcciones que se especifican en el encabezado Ethernet. Nota como en el siguiente ejemplo solo un comando puede ser configurado. Por lo tanto, al ingresar varios comandos ip arp inspection validate se sobrescribe el comando anterior. Para incluir mas de un método de validación, ingrésalos en la misma línea de comando como se muestra y verifica en la siguiente salida.
S1(config)# ip arp inspection validate ? dst-mac Validate destination MAC address ip Validate IP addresses src-mac Validate source MAC address S1(config)# ip arp inspection validate src-mac S1(config)# ip arp inspection validate dst-mac S1(config)# ip arp inspection validate ip S1(config)# do show run | include validate ip arp inspection validate ip S1(config)# ip arp inspection validate src-mac dst-mac ip S1(config)# do show run | include validate ip arp inspection validate src-mac dst-mac ip S1(config)#
4. Comprobador de Sintaxis: Mitigar Ataques ARP
Implementa DAI para un switch basado en la siguiente topología y requerimientos específicos.
Te encuentras actualmente en una sesión en S1. Habilita DHCP snooping globalmente para el switch.
S1(config)#ip dhcp snooping
Ingresa al modo de configuración de la interfaz para g0/1 – 2, confía en las interfaces para DHCP snooping y DAI, y luego regresa al modo de configuración global.
S1(config)#interface range g0/1 - 2 S1(config-if-range)#ip dhcp snooping trust S1(config-if-range)#ip arp inspection trust S1(config-if-range)#exit
Habilita la DHCP snooping y DAI para las VLAN 10,20,30-49.
S1(config)#ip dhcp snooping vlan 10,20,30-49 S1(config)#ip arp inspection vlan 10,20,30-49 S1(config)#
Has configurado correctamente DAI para el switch.
Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.
