Está en la página 1de 21

DIPLMADO

 BÁSICO  DE  SEGURIDAD  INFORMÁTICA  2015:  MÓDULO  2    


Equipo  utilizado  

Ê  Equipamiento  recomendado:  

•  2  Switches  L2/L3  

•  3  Computadoras  (laptops  ó  PC’s)  

•  Cableado  para  interconectar  los  equipos  y  dispositivos  

•  Puede   optar   por   simuladores   de   red   como   Dynamips,   Packet  

Tracert,  etc.  
Recomendaciones  

Ê  Algunos  links  interesantes:  


•  http://www.networkworld.com/article/2223176/cisco-­‐subnet/six-­‐free-­‐cisco-­‐labs.html  

•  http://labswitch.blogspot.mx/  

•  http://www.ciscoconsole.com/free-­‐cisco-­‐lab-­‐simulators.html  

•  http://labs.ine.com/workbook/view/security-­‐technology-­‐labs/task/preventing-­‐arp-­‐
attacks-­‐using-­‐dynamic-­‐arp-­‐inspection-­‐Mjcx  
Dynamic  ARP  Inspection  (DAI)  

Ê  Los   dispositivos   clientes   utilizan  ARP   (Address   Resolution   Protocol)  

para   resolver   una   dirección   MAC   desconocida   a   partir   de   una  


dirección  IP  conocida.  

Ê  En  estos  casos,  el  cliente  envía  un  broadcast  con  un   ARP  Request,  

donde  se  especifica  la  dirección  IP.  

Ê  El   dispositivo   con   la   dirección   IP,   responde   con   un   ARP   Reply  


adjuntando  su  dirección  MAC.  
Dynamic  ARP  Inspection  (DAI)  

Ê  Un   atacante   puede   responder   a   los   ARP   Request   con   su   propia  

dirección  MAC.  

Ê  ARP   Poisoning   ó   ARP   Spoofing,   generando   un   ataque   del   tipo  

MITM.  
Dynamic  ARP  Inspection  (DAI)  

Ê  EJEMPLO  

192.168.1.11  
Envía  ARP  Request  
mediante  Broadcast:  
       “…  Quién  es     Attacker  
       192.168.1.100…”   (Overhears  ARP  Request)  
  Envía  ARP  Reply:  
DNS  Server          “…  Yo  soy  192.168.1.100  
192.168.1.100          Mi  MAC  Add:  6666.6666.6666  …”  
192.168.1.12   192.168.1.13   5555.5555.5555  
Dynamic  ARP  Inspection  (DAI)  

Ê  DAI  es  una  solución  a  esta  solución  de  ARP  Poisoning  (a  nivel  L2)  

Ê  Funcionamiento  parecido  a  DHCP  Snooping  y  IP  Source  Guard:  

•  Todos  los  puertos  son  catalogados  como  TRUST  ó  UNTRUST  

•  Todos   los   paquetes   ARP   que   llegan   de   un   puerto   UNTRUST   son  


analizados.  

•  Los  paquetes  ARP  de  un  puerto  TRUST  no  son  analizados.  
Dynamic  ARP  Inspection  (DAI)  

•  Cuando   se   recibe   un   ARP   Reply   en   un   puerto   UNTRUST,   el   switch  


comprueba   las   direcciones   MAC   e   IP   reportadas   frente   a   los   valores  
conocidos  y  de  confianza.  

•  Uns   witch   puede   reunir   información   ARP   de   “confianza”   de   entradas  


configuradas  estáticamente  ó  desde  entradas  dinámicas  generadas  por  
DHCP  snooping  (para  esto,  DHCP  snooping  debe  estar  activo).  

•  Si   un   ARP   Reply   contiene   información   no   válida,   se   deshecha   y   se  


genera  un  mensaje  log.  

 
Dynamic  ARP  Inspection  (DAI)  

Ê  EJEMPLO  

192.168.1.11  
Envía  ARP  Request  
mediante  Broadcast:  
       “…  Quién  es     Attacker  
       192.168.1.100…”   (Overhears  ARP  Request)  
  Envía  ARP  Reply:  
DNS  Server          “…  Yo  soy  192.168.1.100  
192.168.1.100          Mi  MAC  Add:  6666.6666.6666  …”  
192.168.1.12   192.168.1.13   5555.5555.5555  
Dynamic  ARP  Inspection  (DAI)  

Ê  CONFGIURACIÓN

•  Se habilita el uso de DAI en una o varias VLAN’s:


 Switch(config)#  ip  arp  inspection  vlan  vlan-­‐range  
 

•  Por default, todos los puertos asociados a esa VLAN son


considerados UNTRUST. TODOS LOS PUERTOS DE ENLACE
DEBEN SER CATALOGADOS COMO TRUST:
Switch(config)#  interface  type    mod/num  
 Switch(config-­‐if)#  ip  arp  inspection  trust  
 
Dynamic  ARP  Inspection  (DAI)  

•  Si  existen  hosts  con  direcciones  IP  estáticas,  debe  configurarse  una  lista  

de  acceso  ARP  para  asociar  direcciones  MAC-­‐IP:  


 Switch(config)#  arp  access-­‐list  acl-­‐name  
  Switch(config-­‐acl)#   permit   ip   host   sender-­‐ip   mac   host   sender-­‐mac  
 [log]  

•  Para  aplicar  la  lista  de  acceso  al  DAI:  

 Switch(config)#  ip  arp  inspection  filter  arp-­‐acl-­‐name  vlan  vlan-­‐range  [static]  


Dynamic  ARP  Inspection  (DAI)  

•  Cuando   se   inspeccionan   ARP   Replies,   su   contenido   se   compara  

primeramente  con  las  entradas  de  la  lista  de  acceso.  

•  Si  no  se  encuentra  ninguna  coincidencia,  se  compara  en  segundo  lugar  

con  DHCP  snooping.  

•  En   la   aplicación   de   la   lista   de   acceso   se   puede   utilizar   el   parámetro  

static  para  evitar  la  inspección  con  información  del  DHCP  snooping.  
Dynamic  ARP  Inspection  (DAI)  

•  Por   último,   se   pueden   utilizar   validaciones   más   específicas   acerca   del  

contenido  de  los  ARP  Reply.  

•  Por  defecto,  sólo  las  direcciones  MAC  e  IP  contenidos  en  el   ARP  Reply  

se   validan.   Esto   significa   que   no   se   valida   la   dirección   MAC   real  

contenida   en   la   cabecera   Ethernet   del   paquete   que   contiene   al   ARP  

Reply.  
Dynamic  ARP  Inspection  (DAI)  

•  Para   validar   que   la   información   del   payload   del  ARP   Reply   coincide   con   la  
información   del   encabezado   ETHERNET   se   puede   utilizar   el   siguiente  
comando  con  uno  ó  varios  de  sus  parámetros:  
 Switch(config)#  ip  arp  inspection  validate  {[src-­‐mac]  [dst-­‐mac]  [ip]}  
   

  src-­‐mac:  Verifica  la  dirección  MAC  de  origen  en  el  encabezado  Ethernet  con  la  dirección  MAC  
 origen  en  el  ARP  Reply.  

  dst-­‐mac:  Verifica   la   dirección   MAC   destino   en   el   encabezado   Ethernet   con   la   dirección   MAC  
 destino  en  la  respuesta  ARP.  

  ip:  Verifica   la   dirección   IP   origen   de   todos   los  ARP   Request;   verifica   la   dirección   IP   origen   con   la  
 dirección  IP  destino  en  todos  los  ARP  Reply.  
Dynamic  ARP  Inspection  (DAI)  
Dynamic  ARP  Inspection  (DAI)  

Ê  VERIFICACIÓN  

 Switch#  show  ip  arp  inspection  vlan  vlan-­‐id  


 Switch#  show  ip  arp  inspection  log  

 Switch#  show  ip  arp  inspection  interfaces  type  mod/num  

 
Dynamic  ARP  Inspection  (DAI)  

Ê  EJEMPLO  1:  

DHCP  Server  
192.168.1.100  
4444.4444.4444  

Client  1   Client  2   Client  3  


1111.1111.1111   2222.2222.2222   3333.3333.3333  
Dynamic  ARP  Inspection  (DAI)  

Switch(config)#  ip  arp  inspection  vlan  1  

Switch(config)#  arp  access-­‐list  Ejemplo  

Switch(config-­‐acl)#  permit  ip  host  192.168.1.100  mac  host  4444.4444.4444  

Switch(config-­‐acl)#  exit  

Switch(config)#  ip  arp  inspection  filter  Ejemplo  vlan  1  

***  En  caso  de  existir  una  conexión  a  otro  switch  en  el  puerto  5  ****  

Switch(config)#  interface  fastethernet  0/5  

Switch(config-­‐if)#  ip  arp  inspection  trust  

Switch(config-­‐if)#  exit  
Dynamic  ARP  Inspection  (DAI)  

Ê  CONSIDERACIONES  

•  Los  puertos  de  enlace  deben  ser  configurados  como  TRUST.   Se  asume  
que  los  switches  vecinos  también  tienen  activa  la  función  de  DAI.  

•  No   es   necesaria   la   activación   de   DHCP   Snooping   (a   menos   que   deba  


utilizarse  por  otra  necesidad)  

•  Al  activar  la  ARP  ACL,  se  debe  ser  cuidadoso  al  momento  de  utilizar  el  
parámetro  “static”.  
Dynamic  ARP  Inspection  (DAI)  

Ê  EJERCICIO  1   Switch_1  

Switch_2   DHCP  Server  


192.168.1.100  
4444.4444.4444  
Client  2   Client  1  

DNS  Server  
192.168.1.100  
4444.4444.4444  
Client  5   Client  4   Client  3  
Dynamic  ARP  Inspection  (DAI)  

DUDAS,  COMENTARIOS