A inspeção dinâmica de ARP é um recurso de segurança que valida pacotes ARP em uma rede. A inspeção dinâmica de ARP determina a validade de pacotes executando uma inspeção das atribuições de endereço IP a MAC armazenado em um banco de dados confiável (o banco de dados de vinculação do DHCP) antes de encaminhar o pacote para o destino apropriado. A inspeção ARP dinâmica descartará todos os pacotes ARP com atribuições de endereço IP-MAC inválidas que falham na inspeção. O banco de dados do DHCP snooping é criado quando o recurso DHCP snooping é habilitado nas VLANs.
- Utilizado para prevenir ARP poisoning
- ARP poisoning por gratuitous ARP usando IP e MAC local
- Inspect ARP requests/responses
- Utiliza DHCP snooping database para verificação
- ARP ACLs pode ser usados para ARP request/responses para estaticamente definir o device
- DAI pode ser executado somente em ingress port e não permite nenhuma checagem egress
- DAI é suportado em access ports, trunk ports, EtherChannel Ports e PVLAN ports
- DAI pode ser configurado em todas as portas de acesso como untrusted e em todas as portas conectadas em outro switch como trusted
- DAI encaminha todos os pacotes ARP recebidos de uma interface "trusted" sem nenhum check
- DAI intercepta todos os pacotesde interfaces "untrusted"
O recurso dinâmico de Inspeção ARP (DAI) protege a rede de muitos dos ataques tipo man-in-the-middle (MITM) comumente conhecidos. A Inspeção dinâmica ARP garante que somente solicitações e respostas ARP válidas sejam encaminhadas
Configuração em ambiente com DHCP
O DAI depende das entradas no banco de dados do DHCP snooping para verificar as atribuições de endereços IP-para-MAC.
Configurar cada interface como confiável usando o comando de configuração da interface ip arp inspection trust.
As interfaces confiáveis ignoram as verificações de validação de inspeção ARP e todos os outros pacotes estão sujeitos a inspeção quando chegam em interfaces não confiáveis.
Switch(config)# interface GigabitEthernet1/0/11
Switch(config-if)# ip arp inspection trust
Switch(config)# ip arp inspection vlan 1-20
Configuração em ambiente não DHCP
Em ambientes não DHCP, como não há banco de dados DHCP snooping, o DAI pode validar pacotes ARP através de um ACL ARP definido pelo usuário para mapear hosts com um endereço IP configurado estaticamente para seu endereço MAC.
Switch(config)# arp access-list filteracl
Switch(config-arp-acl)# permit ip host 172.16.0.1 mac host 00e1.00f2.00af
Switch(config)# ip arp inspection filter filteracl vlan 10
Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# no ip arp inspection trust
Limitação de Taxa de Pacotes de Entrada de ARP
Como a CPU do switch executa o DAI, existe um potencial para um ataque de negação de serviço (DoS) de inundação ARP resultando em degradação do desempenho. Para evitar isso, os pacotes ARP podem ser limitados de taxa usando o comando ip arp inspection limit do modo de configuração de interface para limitar a taxa de solicitações e respostas ARP de entrada. Por padrão, 15 pps (pacotes por segundo) são permitidos em interfaces não confiáveis; No entanto, não há limite para interfaces confiáveis. O intervalo de rajada é de 1 segundo.
Quando a taxa de pacotes ARP de entrada excede os limites configurados, a porta é colocada no estado de err-disabled. A porta permanecerá nesse estado até que o usuário intervenha ou o comando de recuperação errdisable arp-inspection interval [seconds] seja ativado, de modo que as portas possam recuperar automaticamente deste estado após um período de tempo limite especificado
Verificações de validação ARP
Podem ser realizadas verificações adicionais específicas nos pacotes ARP de entrada para validar o endereço MAC de destino, o endereço IP do remetente em solicitações ARP, o endereço IP de destino em respostas ARP ou o endereço MAC de origem.
Use o comando ip arp inspection validate {[src-mac] [dst-mac] [ip]} do modo de configuração global para ativar essas verificações adicionais de validação ARP.
Validações:
Switch# show ip arp inspection interface (Exibe o estado de trust o limite de taxa (pps significa pacotes por segundo) e o intervalo de rajada configurado para as interfaces)
Switch# show ip arp inspection vlan (Exibe a configuração DAI e o estado de operação das VLANs configuradas no switch)
Switch# show ip arp inspection statistic (Exibe as estatisticas dos pacotes)
Nenhum comentário:
Postar um comentário
Deixe seu comentário!