Scribd
Cargar
114 vistas2 páginas

Guía Completa sobre ARP y DAI

Este documento describe el protocolo ARP y la función de Dynamic ARP Inspection (DAI) utilizada en los switches para filtrar mensajes ARP no válidos. ARP se usa para asociar direcciones MAC e IP. DAI inspecciona los campos MAC e IP de los mensajes ARP entrantes y los descarta si no coinciden con la tabla DHCP Snooping Binding del switch. Esto ayuda a prevenir ataques como ARP poisoning. La configuración de DAI incluye definir puertos de confianza y opciones como validaciones y límites de tasa.

Cargado por

Kevin Theiler
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como TXT, PDF, TXT o lee en línea desde Scribd
114 vistas2 páginas

Guía Completa sobre ARP y DAI

Este documento describe el protocolo ARP y la función de Dynamic ARP Inspection (DAI) utilizada en los switches para filtrar mensajes ARP no válidos. ARP se usa para asociar direcciones MAC e IP. DAI inspecciona los campos MAC e IP de los mensajes ARP entrantes y los descarta si no coinciden con la tabla DHCP Snooping Binding del switch. Esto ayuda a prevenir ataques como ARP poisoning. La configuración de DAI incluye definir puertos de confianza y opciones como validaciones y límites de tasa.

Cargado por

Kevin Theiler
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como TXT, PDF, TXT o lee en línea desde Scribd

ARP Review

-Se utiliza para aprender las direcciones MAC de otros dispositivos con una
direccion IP conocida
-Por ejemplo, una PC utiliza ARP para aprender la direccion MAC de su default
gateway para comunicarse con redes externas
-Tipicamente dos mensajes se intercambian: Request y Reply

Gratuitous ARP
-Un mensaje Gratuitous ARP es una respuesta ARP que es enviada sin ninguna request
ARP
-Envia la propia MAC address en forma de broadcast
-Esto permite que todos los dispositivos aprendan la direccion MAC del dispositivo
sin que se envíe ninguna request ARP
-Algunos dispositivos envian mensajes GARP cuando una interfaz se habilita, la
dirección IP cambia, la MAC es modificada, etc

Dynamic ARP Inspection

-DAI es una funcion de seguridad de los switches que es utilizada para filtrar los
mensajes recibios en un puerto "untrusted"
-DAI solo filtra los mensajes ARP. Ningun otro mensaje es afectado
-Todos los puertos por default son untrusted
-Tipicamente, todos los puertos conectados a otros dispositivos de red
(switches, routers) deben ser configurado como trusted, mientras que las interfaces
conectadas a los hosts finales deben permanecer como untrusted

ARP Poisoning (MITM)

-El atacante envia GARP utilizando la dirección IP del default gateway


-Los otros dispositivos van a enviar información hacia el atacante en lugar del dfg

DAI Operations

-DAI Inspecciona la los campos MAC e IP del origen del mensaje de ARP recibido en
el puerto untrusted y ckequea que hay un match en la entrada de la tabla DHCP
Snooping Binding
-Si hay match, envia el mensaje normal
-Si no hay match, el mensaje ARP es descartado
-DAI no inspecciona los puertos trusted
-Se puede configurar manualmente una ACL de ARP para direcciones IP/MAC para que
DAI chequee la entrada. Util para hosts que tienen IP fija(No DHCP)
-DAI puede ser configurada para realizar un chequeo mas intenso tambien, pero es
opcional
-DAI soporta rate-limiting como DHCP snooping, para prevenir que los atacantes
sobrecarguen el switch
-Estas tareas, DHCP SNooping y DAI, requieren carga de procesador del switch.

Configuración DAI

config global
ip arp inspection vlan 1 --- en las vlans que haya
int g0/0
ip arp inspection trust

show ip arp inspection interfaces -- para ver las interfaces habilitadas con DAI,
por defualt el rate es 15

DHCP Snooping rate limit se configura como: x paquetes por segundo


DAI burst interval permite configurar el rate limtando asi: x paquetes cada Y
segundos

para configurar el rate limit

int g0/1
ip arp inspection limit rate 25 burst interval 2
burst interval es opcional

Si lo mensajes ARP superan el limit rate la interfaz se coloca en err-disable o


errdisable recovery cause arp-inspection

DAI Chequeos opcionales

ip arp inspection validate (dst-mac) (ip) (src-mac)

para configurar las 3 validaciones hay que poner el comando asi

ip arp inspection validate src-mac ip dst-mac

show runn | include validate --> para mostrar como se configuro la validación

ARP ACL

show ip dhcp snooping binding

si un host con una dirección IP fija envia un ARP request va a ser descartado
porque no se encuentra en la tabla de DHCP Snooping del switch al cual esta
conectado

arp access-list ARP-ACL-1


permit ip host 192.168.1.100 mac host 0c29-2f1e.7700

ip arp inspection filter ARP-ACL-1 vlan 1

También podría gustarte