En las redes de Capa 2, los swtiches de la serie S toman medidas como la protección de la tabla de direcciones MAC y la supresión de tormentas de difusión. En las redes de Capa 3, el reenvío de datos está indicado mediante la tabla de enrutamiento y la tabla ARP.
● Las entradas de enrutamiento se generan intercambiando los paquetes de protocolo de enrutamiento entre los conmutadores. Los usuarios no intervienen en la generación de entradas de enrutamiento, por lo que es difícil atacar la tabla de enrutamiento.
● Las entradas ARP se generan al intercambiar paquetes de protocolo entre hosts de usuario y switches. Por lo tanto, la tabla ARP es propensa a los ataques.
La seguridad de la tabla ARP es la clave de la protección de seguridad de red de Capa 3. Otro método de ataque de red de Capa 3 es que los usuarios no autorizados falsifican direcciones IP para atacar la red. Este artículo describe cómo garantizar la seguridad de la red de Capa 3 protegiendo la seguridad de la tabla ARP y evitando la falsificación de direcciones IP.
1.1 Cómo proteger la seguridad de la tabla ARP
Las entradas de ARP se clasifican en entradas ARP dinámicas y estáticas. Las entradas de ARP estáticas se configuran manualmente, por lo que no tienen ningún riesgo de seguridad. Las entradas dinámicas de ARP se generan a través del aprendizaje dinámico de ARP. El proceso de aprendizaje ARP puede ser atacado. Los siguientes son los posibles ataques dirigidos a diferentes etapas en los métodos de aprendizaje y defensa de ARP.
Tabla 1-1 análisis de aprendizaje ARP
Etapa de aprendizaje ARP | Posible ataque | Método de defensa |
1. Una interfaz en el switch recibe un paquete ARP y envía el paquete a la CPU . | Envíe una gran cantidad de paquetes ARP al conmutador. Como resultado, el switch no puede enviar los paquetes ARP de usuarios autorizados a la CPU. | Asegúrese de que los paquetes ARP de usuarios autorizados puedan enviarse a la CPU. |
2. El switch comprueba si la entrada ARP que coincide con la dirección IP de origen del paquete ARP existe en la tabla ARP. Si existe la entrada coincidente, el switch actualiza la entrada ARP. De lo contrario, el switch agrega una nueva entrada a la tabla ARP. | Envía un paquete ARP falso para manipular la entrada ARP correcta. | Asegurar la corrección de las entradas ARP. |
El switch comprueba si el recurso de tabla ARP es suficiente. Si el recurso es suficiente, el conmutador agrega la nueva entrada ARP. De lo contrario, el switch no agrega la entrada ARP. | Envíe una gran cantidad de paquetes con direcciones IP o MAC de origen variable para consumir el recurso ARP. | Asegúrese de que las entradas ARP de los usuarios autorizados puedan generarse con éxito.
|
Las siguientes secciones describen cómo los switches de la serie S se defienden contra los ataques ARP.
1.1.1 Asegúrese de que los paquetes ARP de los usuarios autorizados puedan enviarse a la CPU
Para proteger la CPU, el switch utiliza CPCAR para limitar el número de cada tipo de paquetes de protocolo enviados a la CPU. Los paquetes que exceden el CPCAR se eliminan. Si un usuario no autorizado envía una gran cantidad de paquetes ARP, los paquetes ARP de usuarios autorizados no pueden enviarse a la CPU, por lo que las entradas ARP no pueden generarse para los usuarios autorizados. Los switches de la serie S proporcionan los siguientes métodos para solucionar este problema.
● Limitar la tasa de paquetes ARP
Los switches de la serie S admiten la limitación de velocidad ARP en diferentes dimensiones.
Tabla 1-2 Limitación de velocidad en paquetes ARP
Dimensión | Implementación |
Basado en la dirección MAC de origen | El switch recopila estadísticas sobre los paquetes ARP destinados a la CPU en función de la dirección MAC de origen . Si la tasa de paquetes ARP de una dirección MAC por segundo supera el umbral, el switch elimina los paquetes ARP excesivos . El switch puede limitar la velocidad de paquetes para cualquier dirección MAC de origen o una dirección MAC de origen específica. |
Basado en la dirección IP de origen | El switch recopila estadísticas sobre los paquetes ARP destinados a la CPU en función de la dirección IP de origen . Si la tasa de paquetes ARP de una dirección IP por segundo supera el umbral, el switch descarta los paquetes ARP excesivos. El switch puede limitar la velocidad de paquetes para cualquier dirección IP de origen o una dirección IP de origen específica. |
Basado en VLAN o interfaz, o global | Limite el número de paquetes ARP desde una VLAN o una interfaz, o paquetes ARP globales. Si el número de paquetes ARP recibidos por segundo supera el límite, el conmutador elimina los paquetes ARP excesivos.
|
La configuración es la siguiente:
Limite la tasa de paquetes ARP en función de la dirección MAC de origen.
[HUAWEI] arp speed-limit source-mac maximum 10 //Set the maximum number of ARP packets that can pass from any MAC address to 10.
Limite la tasa de paquetes ARP en función de la dirección IP de origen.
[HUAWEI] arp speed-limit source-ip maximum 10 //Set the maximum number of ARP packets that can pass from any IP address to 10.
Limite la tasa de paquetes ARP globalmente.
[HUAWEI] arp anti-attack rate-limit enable //Enable ARP rate limiting.
[HUAWEI] arp anti-attack rate-limit packet 200 interval 10 //Set the maximum number of ARP packets that can be sent to the CPU within 10s to 200. The excessive packets are dropped.
Limite la tasa de paquetes ARP en función de la VLAN.
[HUAWEI-vlan3] arp anti-attack rate-limit enable //Enable ARP rate limiting.
[HUAWEI-vlan3] arp anti-attack rate-limit packet 200 interval 10 //Set the maximum number of ARP packets that can be sent from VLAN 3 to the CPU within 10s to 200. The excessive packets are dropped.
Limite la tasa de paquetes ARP en función de la interfaz.
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit enable //Enable ARP rate limiting.
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit packet 200 interval 10 //Set the maximum number of ARP packets that can be sent from GE0/0/1 to the CPU within 10s to 200. The excessive packets are dropped.
● Limite la tasa de mensajes de Miss ARP
¿Por qué es importante limitar ARP Miss? Vamos a ver cómo se generan los mensajes de ARP.
Un host de usuario envía una gran cantidad de paquetes IP con direcciones IP de destino que no se pueden resolver (la tabla de enrutamiento contiene las entradas de enrutamiento que coinciden con las direcciones IP de destino de los paquetes, pero el dispositivo no tiene las entradas ARP que coincidan con las direcciones del siguiente salto de las entradas de enrutamiento) para el dispositivo, el dispositivo genera una gran cantidad de paquetes de ARP Miss. Los paquetes IP que activan los mensajes ARP Miss se envían a la CPU para su procesamiento. El dispositivo genera y entrega muchas entradas ARP temporales de acuerdo con los mensajes de Miss ARP, y envía una gran cantidad de paquetes de solicitud ARP a la red de destino. Esto aumenta el uso de la CPU del dispositivo.
Limitar la tasa de mensajes ARP Miss puede reducir la carga de la CPU. Los paquetes ARP de usuarios autorizados pueden enviarse a la CPU para su procesamiento.
Configurar la limitación de la tasa de Miss ARP:
· Configure el límite de la tasa de pérdida ARP en función de la dirección IP de origen.
[HUAWEI] arp-miss speed-limit source-ip maximum 60 //Set the maximum number of ARP Miss messages that can be processed by the switch from a source IP address to 60.
Configure el límite de velocidad global para los mensajes de ARP Miss. O configure la limitación de velocidad según la VLAN o la interfaz.
[HUAWEI] arp-miss anti-attack rate-limit enable //Enable ARP Miss rate limiting.
[HUAWEI] arp-miss anti-attack rate-limit packet 200 interval 10 //Set the maximum number of ARP Miss messages sent to the CPU within 10s to 200. The excessive packets are dropped.
Configurar la inspección de egreso ARP (EAI)
Después de recibir un paquete de solicitud ARP, el dispositivo difunde el paquete en el dominio de difusión.
EAI tiene como objetivo reducir el número de paquetes de difusión en una VLAN, para aliviar la carga de trabajo de la CPU. El EAI busca la interfaz de salida que coincida con la dirección IP de destino de un paquete de solicitud de ARP en la tabla de indagación DHCP, y envía el paquete de solicitud de ARP a través de la interfaz de salida. Esto reduce la cantidad de paquetes ARP que se emiten en la VLAN y alivia la carga de trabajo de la CPU.
La EAI reduce la cantidad de paquetes ARP procesados por la puerta de enlace. En la Figura 1-1 , después de habilitar EAI en un switch de Capa 2, el switch de Capa 2 busca en la tabla de enlace de indagación DHCP antes de transmitir el paquete de solicitud ARP. Si se encuentra la interfaz saliente que coincide con la dirección IP de destino de un paquete ARP, el paquete de solicitud ARP se reenvía a través de la interfaz saliente. Esto reduce el número de paquetes de solicitud ARP recibidos por la puerta de enlace.
Figura 1-1 aplicación de EAI
Configure EAI de la siguiente manera:
[L2switch] dhcp enable //Enable DHCP globally.
[L2switch] dhcp snooping enable //Enable DHCP Snooping globally.
[L2switch] vlan 10
[L2switch-vlan10] dhcp snooping enable
[L2switch-vlan10] dhcp snooping arp security enable //Enable EAI.
1.1.2 Asegurar la corrección de las entradas ARP
Después de que se envía un paquete ARP a la CPU, el switch busca la entrada ARP que coincida con la dirección IP de origen en la tabla ARP. Si se encuentra una entrada ARP coincidente, el switch actualiza la entrada ARP. El atacante puede enviar un paquete falso ARP para manipular la entrada ARP. Entonces los paquetes de usuarios autorizados no pueden ser reenviados correctamente. Los switches de la serie S proporcionan diferentes métodos de defensa para diferentes tipos de ataques.
Defender contra ataques de puerta de enlace falsos
El atacante envía un paquete ARP con la dirección IP de origen como la dirección de la puerta de enlace dentro de la subred local.Luego, las asignaciones de direcciones de la puerta de enlace en otros hosts de usuarios se alteran. Los otros hosts del usuario envían el tráfico destinado a la puerta de enlace al atacante, y no pueden acceder a la red. Además, el atacante puede recibir los datos enviados desde los hosts del usuario, lo que provoca la divulgación de información.
Como se muestra en la Figura 1-2 , el atacante se presenta como la puerta de enlace para notificar al usuario A que la dirección MAC se cambia a 5-5-5. El usuario A luego envía los datos destinados a la puerta de enlace (1-1-1) a la dirección de la puerta de enlace incorrecta 5-5-5, causando una interrupción de la comunicación. La dirección MAC 5-5-5 pertenece al atacante. Así que el atacante obtiene los datos del usuario A, lo que provoca la divulgación de información.
Figura 1-2 Ataque de puerta falsa
Los switches de la serie S proporcionan los siguientes métodos para evitar ataques de puerta de enlace falsos.
Tabla 1-3 Defensa contra ataques de puerta de enlace falsos
Método de defensa | Descripción |
Paquetes ARP gratuitos | La puerta de enlace envía periódicamente paquetes ARP gratuitos y actualiza las entradas de ARP de los usuarios autorizados, de modo que la asignación de direcciones de la puerta de enlace correcta se registre en las entradas de ARP de los usuarios autorizados. |
Puerta de enlace ARP anticolisión | Cuando un dispositivo recibe un paquete ARP cuya dirección IP de origen en el paquete ARP es la misma que la dirección IP de la interfaz VLANIF que coincide con la interfaz de entrada , o la dirección IP de origen es la dirección virtual de la interfaz de entrada, pero la dirección MAC de origen es no la dirección MAC virtual de VRRP , el dispositivo considera que el paquete ARP entra en conflicto con la dirección de la puerta de enlace. Luego, el dispositivo genera una entrada de defensa de ataque ARP y descarta los paquetes ARP de la misma VLAN y la misma dirección MAC de origen recibida por esta interfaz dentro de un período de tiempo. |
Protección de puerta de enlace ARP | Las interfaces con la protección de puerta de enlace habilitada pueden recibir y reenviar los paquetes ARP desde la dirección IP de origen especificada. Las interfaces sin la protección de puerta de enlace habilitada eliminan los paquetes ARP de la dirección IP de origen especificada.
|
La configuración es la siguiente:
Configure la puerta de enlace para enviar periódicamente paquetes ARP gratuitos.
[Gateway] arp gratuitous-arp send enable //Enable the sending of gratuitous ARP packets. The default sending interval is 30s.
Configurar la puerta de enlace ARP anticolisión.
[L2switch] interface gigabitethernet 0/0/1
[L2switch-GigabitEthernet0/0/1] arp filter source 10.1.1.1 //The protected gateway address is 10.1.1.1.
● Defenderse contra ataques de usuarios falsos
Como se muestra en la Figura 1-3 , el atacante forja un paquete ARP como usuario autorizado para manipular la entrada ARP del usuario A en la puerta de enlace. Cuando el usuario B reenvía datos al usuario A a través de la puerta de enlace, se encuentra una entrada de ARP incorrecta y el usuario A no puede recibir datos del usuario B.
Figura 1-3 Ataque de usuario falso
Los switches de la serie S proporcionan los siguientes métodos para evitar ataques de usuarios falsos.
Tabla 1-4 Defensa contra ataque de usuario falso
Método de defensa | Descripción |
ARP fijo | El ARP fijo se puede implementar en los siguientes modos: fixed-mac : cuando recibe un paquete ARP, el switch lo descarta si la dirección MAC no coincide con la dirección MAC en la entrada correspondiente de ARP. Arreglado todo : cuando se recibe un paquete ARP, el conmutador lo descarta si la dirección MAC, el número de interfaz o el ID de VLAN no coinciden con una entrada en la tabla ARP. send-ack : después de que un dispositivo recibe un paquete ARP relacionado con la dirección MAC, la VLAN o la modificación de la información de la interfaz, envía un paquete de solicitud ARP. Si no se recibe respuesta, el dispositivo deja caer el paquete. |
DAI | El dispositivo verifica la dirección IP, la dirección MAC, la VLAN o la información de la interfaz en el paquete ARP contra las entradas de indagación de DHCP. Si no se encuentra una entrada coincidente, el dispositivo descarta el paquete. |
La configuración es la siguiente:
● Configurar ARP fijo a nivel mundial o basado en la interfaz.
[Gateway] arp anti-attack entry-check fixed-mac enable //Set the fixed ARP mode to fixed-mac.
● Configurar DAI basado en interfaz y VLAN.
[Gateway] vlan 10
[Gateway-vlan10] arp anti-attack check user-bind enable
1.1.3 Asegúrese de que las entradas de ARP de los usuarios autorizados puedan generarse con éxito
Un dispositivo tiene un recurso de entrada ARP limitado. Si el atacante inicia un ataque de inundación de ARP para agotar el recurso de entrada de ARP, las entradas de ARP de los usuarios autorizados no se pueden generar, lo que provoca una falla en el reenvío de paquetes.
Los switches de la serie S proporcionan los siguientes métodos para evitar el agotamiento de los recursos de entrada ARP.
Tabla 1-5 Defensa contra el agotamiento del recurso de entrada ARP
Método de defensa | Descripción |
Limite el número de entradas ARP que pueden aprenderse | Cuando un atacante conectado a una interfaz ocupa un recurso de entrada de ARP excesivo, limite la cantidad de entradas de ARP que puede obtener la interfaz para evitar el agotamiento de los recursos de ARP. Cuando el número de entradas de ARP aprendidas por la interfaz alcanza el límite, la interfaz no puede aprender nuevas entradas de ARP. |
Aprendizaje estricto de ARP | El dispositi****prende solo los paquetes de Respuesta ARP en respuesta a los paquetes de Solicitud ARP enviados por sí mismo. |
La configuración es la siguiente:
● Configurar el límite de aprendizaje ARP.
[HUAWEI] interfaz gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0 / 0/1] arp-limit vlan 10 maximum 20 // Configure GE0 / 0/1 para aprender un máximo de 20 entradas ARP dinámicas en la VLAN 10.
● Configurar el aprendizaje ARP estricto.
[HUAWEI] arp learning strict // Configurar el aprendizaje ARP estricto.
1.2 Cómo prevenir el ataque de suplantación de direcciones IP
La suplantación de la dirección IP significa que el atacante inicia un ataque utilizando la dirección IP de un usuario autorizado.
Las siguientes secciones describen dos métodos de defensa contra la falsificación de direcciones IP: IPSG y URPF.
1.2.1 IPSG
IP Source Guard (IPSG) usa una tabla de enlace para evitar la falsificación de direcciones IP. Cuando el paquete IP enviado por un usuario no coincide con una entrada en la tabla de enlace, el paquete se considera un paquete de ataque y se descarta.
El ARP estático puede evitar una dirección IP falsa, ¿por qué necesitamos IPSG?
Tanto el IPSG de la tabla de enlace estático como el ARP estático pueden implementar la dirección IP y el enlace de la dirección MAC. Tienen las siguientes diferencias.
Tabla 1-6 Diferencias entre IPSG y ARP estático
Característica | Descripción | Escenario de uso |
IPSG | Construye una tabla de enlace estático para enlazar direcciones IP a direcciones MAC. El dispositivo verifica los paquetes recibidos por las interfaces y reenvía los paquetes que coinciden con las entradas de enlace. | Configurado en el dispositivo de acceso conectado directamente a los hosts de los usuarios para evitar ataques de suplantación de direcciones IP desde la intranet. Por ejemplo, un host malicioso roba la dirección IP de un host autorizado para acceder a la red. |
ARP estático | Crea una tabla ARP estática para enlazar direcciones IP a direcciones MAC. Una tabla ARP estática no se actualiza dinámicamente. El dispositivo procesa los paquetes recibidos de acuerdo con la tabla ARP estática. | Configurado en la pasarela. La tabla de ARP estática almacena las entradas de ARP de los servidores clave para evitar los ataques de suplantación de ARP y garantizar la comunicación normal entre los hosts y los servidores.
|
Figura 1-4 Escenario de uso de IPSG y ARP estático
En la Figura 1-4 , IPSG no está configurado en el switch. Cuando un host malicioso roba la dirección IP de un host autorizado para acceder a Internet, el proceso de reenvío de paquetes es el siguiente:
1. El paquete enviado por el host malicioso llega al conmutador.
2. El conmutador reenvía el paquete a la puerta de enlace.
3. El gateway reenvía el paquete a internet.
4. El paquete de retorno de Internet llega a la puerta de enlace.
5. La puerta de enlace busca la entrada ARP estática de acuerdo con la dirección IP de destino (la dirección IP del host autorizado), y considera la dirección MAC correspondiente a esta dirección IP como la dirección MAC del host autorizado. La puerta de enlace encapsula el paquete y lo reenvía al conmutador.
6. El switch reenvía el paquete al host autorizado de acuerdo con la dirección MAC de destino.
Los detalles sobre este proceso son los siguientes:
Si el host malicioso roba la dirección IP de un host autorizado, el ARP estático puede evitar que el host malicioso acceda a la red cambiando la dirección IP; sin embargo, el host autorizado recibirá una gran cantidad de paquetes de respuesta no válidos. Si el host malicioso sigue enviando dichos paquetes, el host en línea será atacado.
Si el host malicioso utiliza una dirección IP inactiva que no se ha agregado a la tabla ARP estática, el ataque puede iniciarse con éxito y el host malicioso puede recibir los paquetes devueltos. Si desea usar el ARP estático para evitar el robo de direcciones IP, debe agregar todas las direcciones IP en la red, incluidas las direcciones IP inactivas a la tabla ARP estática. Este es un proceso que consume mucho tiempo.
Para evitar ataques de suplantación de direcciones IP en una intranet, configure IPSG en el conmutador.
Como se describió anteriormente, sabemos que IPSG se utiliza en la red de Capa 2. Entonces, ¿por qué describimos IPSG en la red de Capa 3? Esto se debe a que IPSG es un método para evitar la falsificación de direcciones IP, y la dirección IP se utiliza en el reenvío de Capa 3.
Las tablas de enlace de IPSG incluyen tablas de enlace estáticas y dinámicas. Las configuraciones son las siguientes:
● Tabla de enlace estático: vincular direcciones IP, direcciones MAC, VLAN e interfaces manualmente.
[Gateway] user-bind static ip-address 10.1.1.1 mac-address 1E-1E-1E interface gigabitethernet 0/0/1 vlan 10 //Create a static binding entry.
[Gateway] vlan 10
[Gateway-vlan10] ip source check user-bind enable //Enable IPSG in VLAN 10. After the binding table is created, IPSG does not take effect. It takes effect only after it is enabled on an interface or in a VLAN.
● Tabla de enlace dinámico: configurar el snooping DHCP. Cuando un host de usuario obtiene una dirección IP a través de DHCP, los enlaces de direcciones IP, direcciones MAC, VLAN e interfaces se generan automáticamente.
[Gateway] dhcp enable
[Gateway] dhcp snooping enable //Enable DHCP Snooping.
[Gateway] vlan 10
[Gateway-vlan10] dhcp snooping enable
[Gateway-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3 //Configure a trusted interface.
[Gateway-vlan10] ip source check user-bind enable //Enable IPSG in VLAN 10.
1.2.2 URPF
Unicast Reverse Path Forwarding (URPF) es un método que evita los ataques de suplantación de direcciones IP.
URPF busca la interfaz de salida que coincida con la dirección IP de origen de un paquete en la tabla de enrutamiento o la tabla de ARP, y verifica si la interfaz de salida coincide con la fuente del paquete. Si no se encuentra una entrada coincidente, el paquete se descarta. Esto evita el ataque de suplantación de direcciones IP.
URPF tiene dos modos de trabajo.
Tabla 1-7 modos de trabajo URPF
Modo | Descripción | Escenario de uso |
Estricto | Un paquete pasa la verificación de URPF solo cuando la dirección de origen tiene una entrada coincidente en la tabla de enrutamiento o ARP y la interfaz de salida coincide con la fuente del paquete. | Se recomienda el modo estricto para el entorno de ruta simétrica . Por ejemplo, cuando solo hay una ruta entre dos dispositivos de límite de red, el modo estricto puede proteger la seguridad de la red en la mayor medida posible . |
Suelto | Un paquete puede pasar la verificación URPF solo cuando existe una ruta que coincida con la dirección de origen del paquete en la tabla de enrutamiento. | Se recomienda el modo suelto para el entorno de ruta asimétrica. Por ejemplo, si hay varias rutas entre dos dispositivos de límite de red, el modo suelto puede garantizar una seguridad relativamente alta.
|
Figura 1-5 URPF
En la Figura 1-5 , se envía un paquete falso con la dirección IP de origen 10.1.1.2 al switch A. Después de recibir el paquete falso, el conmutador A envía un paquete de respuesta al "propietario" real (conmutador B) de 10.1.1.2. Tanto el switch A como el switch B son atacados por el paquete falso.
Cuando el switch A, donde está activada la comprobación estricta de URPF, recibe un paquete con la dirección de origen 10.2.1.1, URPF detecta que la interfaz de salida que se encuentra en la tabla de enrutamiento o ARP no coincide con la interfaz de origen del paquete y descarta el paquete.
Configure URPF de la siguiente manera:
[SwitchA] urpf slot 1 //Enable URPF in slot 1.
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] urpf strict //Enable URPF strict check on GE1/0/1.
2 Conclusión
Las series de sesiones de seguridad están terminadas. Abarcan la vista holística de seguridad, la seguridad del plano de gestión, la seguridad del plano de control, la seguridad de la red de nivel 2 de reenvío y la seguridad de la red de nivel 3 de reenvío. Las características de seguridad son independientes entre sí. Además de usar y configurar estas funciones, tratamos de vincular estas características en función de sus características y mecanismos comunes, para ayudarlo a comprender mejor estas características. Su opinión es apreciada.
Problemas de seguridad - Número 1 Vista holística de seguridad |
Problemas de seguridad - Número 2 Seguridad del plano de gestión |
Problemas de seguridad - Problema 3 Control Plane Security |
Problemas de seguridad - Número 4 Seguridad del plano de reenvío - Seguridad de capa 2 |
Problemas de seguridad - Número 5 Seguridad del plano de reenvío - Seguridad de nivel 3 |