INSPECCION DINAMICA DE ARP en CISCO

(ver post anteriores dhcp snooping y ip source guard)

Con anterioridad veíamos un ataque de capa se puede decir que 3 mediante direcciones ip, ahora va ser directamente sobre capa 2, la MAC

Doy por supuesto a estas alturas que ya se sabe como almacena un switch una dirección MAC.

Si un host solicita mediante un broadcast de arp y con la ip de destino, una MAC que no conoce para poder mandar sus datos, el equipo que tenga esa ip responderá con un ARP Replay conteniendo su dirección MAC, por eso un atacante puede engañar diciendo que  tiene esa ip y mandar su MAC falsa, con lo que el host origen asociará esa ip con esa MAC falsa, enviando los paquetes ip a esa dirección mas falsa que el pressing catch.

Este ataque es conocido como envenenamiento de ARP y es considerado un ataque man in the middle. Aclarado y dedicado al comentario que nos llego si podíamos aclararlo un poco más para los novatos.

Los switches de CISCO pueden utilizar DAI (Dinamic ARP Inspector) para evitar este tipo de ataques, uuuuuh cuidadin que muerde CISCO.

Los puertos del switch los vamos a considerar confiables o no confiables, inspeccionando solo los que llegan a los puertos no confiables contra la base de datos de DHCP Snooping y las introducidas de manera estática y si ve alguna incoherencia entre la MAC y la IP descarta la trama y envía un mensaje de log. Recomendamos tener un servidor de syslog funcionando.

Para habilitar DAI se debe introducir esta línea por cada vlan que se quiera activar el servicio de protección y se considerará puerto no confiable a todos los que pertenezcan a esa VLAN, lo que quiere decir que se inspeccione el trafico que pasa por ese puerto.

SwitchMiguel(config)#ip arp inspection vlan {vlan-rango}

Pero si queremos que algún Puerto determinado dentro de esa Vlan sea confiable y no se inspeccione el tráfico pues:

SwitchMiguel(config)#interface type {mod/num} ejemplo: interface fastethernet 0/0

SwitchMiguel(config-if)#ip arp inspection trust

 

Para las direcciones que estén configuradas de manera estática necesitamos al no haber comprobación contra DHCP snooping darle esa información de manera estática:

SwitchMiguel(config)#arp access-list {nombre de la acl}

SwitchMiguel(config-acl)#permit ip host {ip estática} mac host {mac estática}

El siguiente paso es asociar esta ACL al DAI:

SwitchMiguel(config)#ip arp inspection filter {nombre de la acl arp} vlan {id de vlan o rango de vlan} [static]

OJOOOO pistojooo Como toda lista de acceso si no encuentra ninguna coincidencia descarta la trama ya que lleva implícito al final un denegar todo. Los CCNA ya los sabeis y sino a repasar por paquetes. (ver listas de acceso)

 

LA MAC PUEDE VENIR FALSEADA en el paquete de respuesta de ARP por el atacante y ser luego distinta en la trama ethernet, entonces podemos comprobar la mac que nos llego del ARP con el de esta trama de datos. Por ejemplo:

Src-mac: compara

Publicado el junio 4, 2013 en Redes y etiquetado en , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: