Descripción general de la inspección dinámica de ARP

La inspección dinámica de ARP (DAI) es una función de seguridad que valida los paquetes del
protocolo de resolución de direcciones (ARP) en una red. DAI permite que un administrador de red
intercepte, registre y descarte paquetes ARP con enlaces MAC a direcciones IP no válidas. Esta
capacidad protege la red de ciertos ataques de "hombre en el medio".

Envenenamiento de caché ARP

Puede atacar hosts, conmutadores y enrutadores conectados a su red de Capa 2 "envenenando"

sus cachés ARP. Por ejemplo, un usuario malintencionado podría interceptar el tráfico destinado a
otros hosts en la subred al envenenar los cachés ARP de los sistemas conectados a la subred.

Considere la siguiente configuración:

Los hosts HA, HB y HC están conectados al conmutador en las interfaces A, B y C, todos los cuales
están en la misma subred. Sus direcciones IP y MAC se muestran entre paréntesis; por ejemplo,
Host HA usa la dirección IP IA y la dirección MAC MA. Cuando HA necesita comunicarse con HB en
la capa IP, HA transmite una solicitud ARP para la dirección MAC asociada con IB. Tan pronto como
HB recibe la solicitud ARP, el caché ARP en HB se llena con un enlace ARP para un host con la
dirección IP IA y una dirección MAC MA; por ejemplo, la dirección IP IA está vinculada a la
dirección MAC MA. Cuando HB responde, el caché ARP en HA se llena con un enlace para un host
con la dirección IP IB y una dirección MAC MB.

El host HC puede "envenenar" las memorias caché ARP de HA y HB transmitiendo respuestas ARP
falsificadas con enlaces para un host con una dirección IP de IA (o IB) y una dirección MAC de
MC. Los hosts con cachés ARP envenenados usan la dirección MAC MC como la dirección MAC de
destino para el tráfico destinado a IA o IB. Esto significa que HC intercepta ese tráfico. Debido a
que HC conoce las verdaderas direcciones MAC asociadas con IA e IB, HC puede reenviar el tráfico
interceptado a esos hosts utilizando la dirección MAC correcta como destino. HC se ha insertado
en el flujo de tráfico de HA a HB, el clásico ataque "hombre en el medio".

Inspección dinámica de ARP

Para evitar ataques de envenenamiento por ARP como el descrito en la sección anterior, un
interruptor debe garantizar que solo se transmitan las solicitudes y respuestas de ARP válidas. DAI
previene estos ataques interceptando todas las solicitudes y respuestas ARP. Cada uno de estos
paquetes interceptados se verifica para enlaces de dirección MAC válidos a direcciones IP antes de
que se actualice el caché ARP local o se reenvíe el paquete al destino apropiado. Los paquetes ARP
no válidos se descartan.
DAI determina la validez de un paquete ARP basado en la dirección MAC válida a los enlaces de
direcciones IP almacenados en una base de datos confiable. Esta base de datos se construye en
tiempo de ejecución mediante la inspección DHCP, siempre que esté habilitada en las VLAN y en el
conmutador en cuestión. Además, DAI también puede validar paquetes ARP contra las ACL ARP
configuradas por el usuario para manejar hosts que usan direcciones IP configuradas
estáticamente.

DAI también se puede configurar para descartar paquetes ARP cuando las direcciones IP en el
paquete no son válidas o cuando las direcciones MAC en el cuerpo del paquete ARP no coinciden
con las direcciones especificadas en el encabezado Ethernet.

Interfaz de estado de confianza, cobertura de seguridad y configuración de red

DAI asocia un estado de confianza con cada interfaz en el sistema. Los paquetes que llegan a
interfaces confiables omiten todas las comprobaciones de validación DAI, mientras que los que
llegan a interfaces no confiables pasan por el proceso de validación DAI. En una configuración de
red típica para DAI, todos los puertos conectados a los puertos host se configuran como no
confiables, mientras que todos los puertos conectados a los conmutadores se configuran como
confiables. Con esta configuración, todos los paquetes ARP que ingresan a la red desde un
conmutador dado habrán pasado la verificación de seguridad; No es necesario realizar una
validación en ningún otro lugar de la VLAN / red:
Figura 34-2 Validación de paquetes ARP en una VLAN habilitada para DAI

Use la configuración del estado de confianza con cuidado.

Configurar interfaces como no confiables cuando se debe confiar puede resultar en una pérdida de
conectividad. Si suponemos que tanto S1 como S2 (en la Figura 34-2 ) ejecutan DAI en la VLAN que
contiene H1 y H2, y si H1 y H2 adquieren sus direcciones IP de S1, entonces solo S2 une la IP a la
dirección MAC de H1 Por lo tanto, si la interfaz entre S1 y S2 no es confiable, los paquetes ARP de
H1 se descartan en S2. Esta condición provocaría una pérdida de conectividad entre H1 y H2.
La configuración de interfaces para que sean confiables cuando realmente no son confiables deja
un agujero de seguridad en la red. Si S1 no estaba ejecutando DAI, entonces H1 puede envenenar
fácilmente el ARP de S2 (y H2, si el enlace del interruptor está configurado como confiable). Esta
condición puede ocurrir, aunque S2 esté ejecutando DAI.

DAI garantiza que los hosts (en interfaces no confiables) conectados a un conmutador que ejecuta
DAI no envenenen las memorias caché ARP de otros hosts en la red. Sin embargo, no garantiza
que los hosts de otras partes de la red no envenenen las memorias caché de los hosts conectados
a ella.

Para manejar casos en los que algunos conmutadores en una VLAN ejecutan DAI y otros no, las
interfaces que conectan dichos conmutadores deben configurarse como no confiables. Sin
embargo, para validar los enlaces de paquetes de conmutadores que no son DAI, el conmutador
que ejecuta DAI debe configurarse con ACP ARP. Cuando no es posible determinar tales enlaces,
los conmutadores que ejecutan DAI deben aislarse de los conmutadores que no son DAI en la capa
3.

Prioridad relativa de enlaces estáticos y entradas de inspección DHCP

Como se mencionó anteriormente, DAI llena su base de datos de direcciones MAC válidas a
enlaces de direcciones IP a través de la inspección DHCP. También valida los paquetes ARP contra
las ACL ARP configuradas estáticamente. Es importante tener en cuenta que las ACL de ARP tienen
prioridad sobre las entradas en la base de datos de indagación DHCP. Los paquetes ARP se
comparan primero con las ACL ARP configuradas por el usuario. Si la ACL de ARP niega el paquete
ARP, entonces el paquete será denegado incluso si existe un enlace válido en la base de datos
poblada por la inspección DHCP.

Registro de paquetes denegados

DAI mantiene un registro de paquetes IP ARP denegados. Los mensajes de registro se generan a
una velocidad controlada y las entradas de registro se borran una vez que se generan mensajes en
su nombre.

Limitación de velocidad de paquetes ARP

DAI realiza comprobaciones de validación en la CPU, por lo que el número de paquetes ARP
entrantes está limitado en frecuencia para evitar un ataque de denegación de servicio. De manera
predeterminada, la velocidad de las interfaces no confiables se establece en 15 paquetes por
segundo, mientras que las interfaces confiables no tienen límite de velocidad. Cuando la velocidad
de los paquetes ARP entrantes excede el límite configurado, el puerto se coloca en el estado err-
disable. El puerto permanece en ese estado hasta que interviene un administrador. Puede
habilitar la recuperación err-disable para que los puertos emerjan de este estado
automáticamente después de un período de tiempo de espera especificado.

A menos que un límite de velocidad se configure explícitamente en una interfaz, cambiar el estado
de confianza de la interfaz también cambiará su límite de velocidad al valor predeterminado para
ese estado de confianza; es decir, 15 paquetes por segundo para interfaces no confiables e
ilimitado para interfaces confiables. Una vez que un límite de velocidad se configura
explícitamente, la interfaz retiene el límite de velocidad incluso cuando se cambia su estado de
confianza. En cualquier momento, la interfaz vuelve a su límite de velocidad predeterminado si no
se aplica la forma del comando de límite de velocidad.

Canales portuarios y su comportamiento

Un puerto físico dado puede unirse a un canal solo cuando el estado de confianza del puerto físico
y del canal coincide. De lo contrario, el puerto físico permanece suspendido en el canal. Un canal
hereda su estado de confianza del primer puerto físico que se unió al canal. En consecuencia, el
estado de confianza del primer puerto físico no necesita coincidir con el estado de confianza del
canal.

Por el contrario, cuando se cambia el estado de confianza en el canal, el nuevo estado de

confianza se configura en todos los puertos físicos que comprenden el canal.

La verificación del límite de velocidad en los canales del puerto es única. La velocidad de los
paquetes entrantes en un puerto físico se compara con la configuración del canal del puerto en
lugar de la configuración de los puertos físicos.

La configuración del límite de velocidad en un canal de puerto es independiente de la

configuración en sus puertos físicos.

El límite de velocidad es acumulativo en todos los puertos físicos; es decir, la velocidad de los
paquetes entrantes en un canal de puerto es igual a la suma de las velocidades en todos los
puertos físicos.

Cuando configura límites de velocidad para paquetes ARP en troncales, debe tener en cuenta la
agregación de VLAN porque un límite de velocidad alta en una VLAN puede provocar un ataque de
"denegación de servicio" a otras VLAN cuando el puerto es errdisable por el software. De manera
similar, cuando un canal de puerto está errdisable, un límite de velocidad alta en un puerto físico
puede hacer que otros puertos en el canal se caigan.

Configurar la inspección dinámica de ARP

Escenario uno: dos conmutadores admiten la inspección dinámica de ARP

Suponga que hay dos conmutadores, S1 y S2 con los hosts H1 y H2 conectados,

respectivamente. Tanto S1 como S2 están ejecutando DAI en la VLAN 1 donde se encuentran los
hosts. La interfaz S1 fa6 / 3 está conectada a la interfaz S2 fa3 / 3, y un servidor DHCP está
conectado a S1. Ambos hosts adquieren sus direcciones IP del mismo servidor DHCP. Por lo tanto,
S1 tiene la unión para H1 y H2, y S2 tiene la unión para el huésped H2.

Para que la configuración sea efectiva, debe configurar la interfaz fa3 / 3 en S2 para que sea
confiable. (Puede dejar la interfaz fa6 / 3 en S1 como no confiable). Si el servidor DHCP se mueve
de S1 a una ubicación diferente, sin embargo, la configuración no funcionará. Para garantizar que
esta configuración funcione de forma permanente, sin comprometer la seguridad, debe configurar
ambas interfaces fa6 / 3 en S1 y fa3 / 3 en S2 como confiables.
Configuración del interruptor S1
Si H1 intenta enviar una solicitud ARP con una dirección IP de 1.1.1.3, el paquete se descarta y se
registra un mensaje de error:
00:12:08:% SW_DAI-4-DHCP_SNOOPING_DENY: 2 ARP inválidos (Req) en Fa6 / 4,
vlan

1. ([0002.0002.0002 / 1.1.1.3 / 0000.0000.0000 / 0.0.0.0 / 02: 42: 35 UTC

martes 10 de julio de 2001])
Configuración del conmutador S2
Para habilitar DAI y configurar fa3 / 3 en S2 como confiable, siga estos pasos:
Por el contrario, si H2 intenta enviar una solicitud ARP con la dirección IP 1.1.1.2, la solicitud se
descarta y se registra un mensaje de error:
00:18:08:% SW_DAI-4-DHCP_SNOOPING_DENY: 1 ARP no válidos (Req) en Fa3 /
4, vlan

1. ([0001.0001.0001 / 1.1.1.2 / 0000.0000.0000 / 0.0.0.0 / 01: 53: 21 UTC

el viernes 23 de mayo de 2003])
Escenario dos: un interruptor admite la inspección dinámica de ARP

Si el conmutador S2 no admite la inspección DAI o DHCP, la configuración de la interfaz fa6 / 3

como confiable dejaría un agujero de seguridad porque S1 y H1 podrían ser atacados por S2 o
H2. Para evitar esta posibilidad, debe configurar la interfaz fa6 / 3 como no confiable. Para
permitir los paquetes ARP desde H2, debe configurar una ACL ARP y aplicarla a la VLAN 1. Si la
dirección IP de H2 no es estática, es imposible aplicar la configuración ACL en S1, S1 y S2. en la
capa 3, es decir, tener un enrutador de paquetes de enrutamiento entre S1 y S2.

Para configurar un ARP ACL en el switch S1, siga estos pasos: