Gratuitous ARP em Switches HP baseados no Comware

O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede que utilizam endereços IPv4. A principal função do ARP é a tradução de endereços IP em endereços MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.

Em resumo, o ARP auxilia os computadores e Switches que utilizam endereços IPv4 (endereço lógico) ,  a encontrarem o endereço mac (endereço físico) das máquinas em redes Ethernet.

Todo endereço da camada de rede, precisa do mapeamento do endereço da camada de enlace.

Assim,  todos os equipamentos de rede montam uma tabela ARP dinâmica (em redes LAN), que é atualizada de tempos em tempos (o tempo pode variar dependendo do Sistema Operacional) caso alguma máquina troque de IP, ou aprenda um endereço “velho” via DHCP.

Segue abaixo a saída da tabela ARP de uma máquina rodando windows 7.

C:\Users\comutadores>arp -a
Interface: 192.168.99.104 --- 0x10
  Internet Address      Physical Address      Type
  192.168.99.1          14-d6-4d-7e-f7-d8     dynamic
  192.168.99.100        10-3b-59-c7-62-34     dynamic
  192.168.99.102        e8-8d-28-f2-60-7b     dynamic
  192.168.99.255        ff-ff-ff-ff-ff-ff     static
  224.0.0.22            01-00-5e-00-00-16     static
  224.0.0.251           01-00-5e-00-00-fb     static
  224.0.0.252           01-00-5e-00-00-fc     static
  239.255.255.250       01-00-5e-7f-ff-fa     static
  255.255.255.255       ff-ff-ff-ff-ff-ff     static

Uma das  funções do protocolo ARP é o Gratuitous ARP, que permite o envio de requisição ou resposta (contendo o mapeamento endereço IP + endereço MAC) mesmo quando não é solicitado.

O gratuitous ARP é uma mensagem enviada geralmente para atualizar a tabela ARP.

Por exemplo, imagine que todas as máquinas de uma rede possuam como gateway um Switch de Distribuição que precisa ser substituído por um novo equipamento mais robusto e moderno. Agora, imagine que essa migração deva ocorrer de maneira quase que imperceptível por inúmeras restrições. O novo Switch é então conectado a todos os outros Switches da rede, incluindo o Switch legado, e cada vez que uma interface do Switch legado é colocada em shutdown (desligada), a mesma é configurada no Switch novo.

Pense que, uma vez que o gateway é movido para outro equipamento (com o mesmo IP) o endereço mac  deverá mudar…

A configuração do gratuitous ARP deverá auxiliar nessa questão, com o novo equipamento enviando a atualização do endereço IP + MAC para todos os dispositivos da rede.

interface Vlan-interface1
 ip address 192.168.99.1 255.255.255.0
 arp send-gratuitous-arp 

Após a certificação e sucesso da migração, o comando poderá ser removido da interface vlan.

[Switch-Vlan-interface1]undo arp send-gratuitous-arp

Espero ter ajudado 😉

Dúvidas, deixe um comentário!

Switches 3Com 4800G – Ataques ao protocolo ARP

O protocolo ARP possui 3 principais vulnerabilidades:

  • Não possui suporte a autenticação
  • É suscetível a vazamento de informação via análise de mensagens Broadcast do protocolo durante solicitação de conversa entre dispositivos.
  • Força o processamento para os hosts da VLAN para todas as requisições ARP, consumindo CPU e largura de banda.

Umas das principais técnicas utilizadas em ataques ao ARP são conhecidas com ARP Spoofing ou ARP Poisoning. A técnica consiste em encaminhar uma resposta falsa a requisição ARP original ou via Gratuitous ARP, permitindo ao atacante atuar no meio da comunicação (Man-in-the-Middle) para “sniffar” o trafego . O host de origem não perceberia a atuação do atacante.

Clique no link para assistir uma rápida demonstração utilizando o software Cain (em inglês) http://www.irongeek.com/i.php?page=videos/using-cain-to-do-a-man-in-the-middle-attack-by-arp-poisoning

ARP Detection

A detecção de ARP permite ao Switch encaminhar somente o tráfego válido na tabela ARP.O tráfego pode ser validado via 802.1x, entradas estáticas ou via DHCP Snooping, no script abaixo mostraremos a técnica utilizando o modo estático e via o mapeamento do DHCP Snooping.

A utilização da feature DHCP-Snooping permite aos Switches o bloqueio de respostas DHCP de Servidores não-válidos na rede e o mapeamento dos Endereços IP entregue ao usuário com o endereço MAC do host, conforme display abaixo:

[4800G]display dhcp-snooping 

DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.1.102 0027-0e0f-a154 172653 1 GigabitEthernet1/0/4
D 192.168.1.103 0027-0e0f-9edb 172728 1 GigabitEthernet1/0/12
--- 2 dhcp-snooping item(s) found ---

Quando ativamos a detecção ARP, todas as portas são consideradas não confiáveis comparando o endereço MAC de origem com o mapeamento IP + MAC checado.

#
dhcp-snooping
!Ativando o DHCP Snooping
#
vlan 1
arp detection enable
!Habilitando a detecção ARP na VLAN 1
#
arp detection mode dhcp-snooping
!Ativando a detecção ARP para verificação da tabela gerada pelo DHCP Snooping
arp detection mode static-bind
!Ativando a detecção ARP para verificação da tabela estática
arp detection static-bind 192.168.1.104 0027-c686-6681
! Gerando uma entrada estática para detecção de ARP
#

Obs: É possível configurar uma interface como confiável para não haver detecção de ARP naquela porta. Configure o comando “arp detection trust” na interface.

ARP Source Suppression

Para proteção contra ataques à hosts com o envio de grande numero de requisições ARP é possível habilitar a supressão de ARP.

!
arp source-suppression enable
arp source-suppression limit 10
! Limita o numero de 10 requisições ARP da mesma origem para endereços
! não resolvidos no threshold de 5 segundos. Se o limite for excedido,
! o Switch efetuará a supressão do ARP do host por 5 segundos.

No guia de configuração dos Switches há maiores referencias e outras técnicas de proteção contra ataques ao ARP. Caso conheça outras técnicas e softwares deixe um comentário.

Abraço a todos!

Referências e Consulta

Lan Switch Security , Eric Vyncke and Christopher Paggen ,Cisco Press, 2008
http://comutadores.blogspot.com/2010/04/switches-3com-4800-dhcp-snooping-como.html
http://www.irongeek.com/i.php?page=security/arpspoof
http://imasters.com.br/artigo/10117/seguranca/arp_poisoning/

ARP (Address Resolution Protocol)

O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede com endereço IPv4. A principal função do ARP é a tradução de endereço IP em endereço MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.

Após a resposta da resquição ARP, o mapeamento IP + MAC é armazenado em cache por alguns minutos. Se houver uma nova comunicação com o endereço IP mapeado na tabela ARP, o dispositivo deverá consultar o mapeamento em cache; e não encaminhará uma mensagem em Broadcast solicitando o endereço MAC. Após o  timeout do endereço, uma nova consulta é encaminhada à rede.

Formato da mensagem ARP:

  • Hardware type: Representa o Tipo de endereço de Hardware utilizado ( como por exemplo o endereço MAC). O valor 1 representa Ethernet.
  • Protocol type: Especifica o tipo de Protocolo a ser mapeado. O valor hexadecimal 0x0800 representa o IP.
  • Hardware address length e protocol address length:Representam o tamanho do endereço de Hardware e do Protocolo em bytes.
  • OP, Operation code: Especifica o tipo da mensagem ARP. O valor 1 representa uma requisição ARP e o valor 2 representa uma resposta ARP.
  • Sender hardware address: Representa o endereço de Hardware (MAC) do dispositivo que está encaminhando a mensagem.
  • Sender protocol address: Representa o endereço de Protocolo (IP) do dispositivo que está encaminhando a mensagem.
  • Target hardware address: Representa o endereço de Hardware (MAC) do dispositivo para qual a mensagem deverá ser entregue. Se o valor estiver preenchido com todos os bits em 0 (zero) significa que a mensagem é uma requisição e o valor deverá ser preenchido na resposta ARP ( se o endereço IP solicitado existir na LAN).
  • Target protocol address: Representa o endereço de Protocolo (IP) do dispositivo para qual a mensagem deverá ser entregue.

A principal vantagem do protocolo é a facilidade do mapeamento dinâmico de endereços de hardware (enlace) para endereços de rede (IP).

Para visualizar a tabela ARP do Switches HP Serie A, H3C ou 3Com digite: display arp

 

Type: S-Static D-Dynamic
IP Address     MAC Address   VLAN ID Port Name / AL ID Aging Type

192.168.39.52  001b-b96d-2858  4     GigabitEthernet1/0/2 13 D
192.168.38.49  001f-d0fb-7e59  4     GigabitEthernet1/0/3 14 D
192.168.39.251 001b-b96d-1671  4     GigabitEthernet1/0/2 15 D

 

Obs: Lembrando que os dispositivos só exibirão a tabela ARP das sub-redes que pertencem!

No próximo post citarei algumas técnicas de proteção contra Ataques ao ARP.

Até a próxima!

Referência:

http://www.h3c.com/portal/Technical_Support_…1285_0.htm

Switches HPN A7500 – Proxy ARP

Publicado originalmente em SEXTA-FEIRA, 5 DE NOVEMBRO DE 2010

Olá amigos, durante a leitura de diversas documentações sobre Proxy ARP, sempre perguntei a razão de utilizar a feature ao invés de corrigir o problema de endereçamento IP das máquinas com máscara incorreta na rede( alguns dispositivos como Cisco, deixam o Proxy ARP habilitado por default).

Nos últimos meses em um projeto bem interessante, me deparei com uma necessidade do cliente que serviu para fundamentar o conceito “como uma luva”!!

Para aqueles que não conhecem a feature, o exemplo será bastante esclarecedor.

No desenho abaixo a empresa X possui as subredes 10.100.1.0/24, 10.200.1.0/24 e 10.30.1.0/24. O Roteamento entre as VLANs é efetuado no Switch Core.

Reparem que o IP do Mainframe está correto dentro do range da VLAN 1, mas o equipamento por ser antigo, não permite alterarmos a mascará de rede!!!

 

Nesse caso, mesmo com a configuração do Gateway corretamente no Mainframe apontando para o Switch Core, a comunicação do equipamento com as redes 10.200.1.0/24 e 10.30.1.0/24 nunca será encaminhado para o Gateway da VLAN 1 pelo fato da mascara no MainFrame deixar explicito que as subredes fazem parte da mesma rede dele.

Obs: Toda comunicação entre hosts de subredes diferentes é encaminhado para o Gateway

Para a comunicação entre dispositivos da mesma subrede, é encaminhado em Broadcast uma mensagem ARP Request. Então, se o MainFrame quiser comunicar com a máquina da VLAN 300 com o endereço IP 10.30.1.25, ele encaminhará uma requisição ARP questionando qual o endereço MAC do IP solicitado( o MainFrame pensa que o host está na mesma subrede que ele).

Como a principal função do Switch Core, é isolar domínios de Broadcast, a mensagem será ignorada por todos os dispositivos da VLAN 1, incluindo o gateway.

Com o Proxy ARP habilitado no Gateway (Interface VLAN 1 do Switch Core), o Switch responderia a solicitação em nome do host 10.30.1.25, mas com o endereço MAC da Interface VLAN 1; e encaminharia o quadro corretamente para o host desejado( encaminhando o ARP request com o endereço 10.30.1.25 na VLAN3 questionando o endereço MAC do host).

Configurando

interface VLAN 1
ip address 10.100.1.1 255.255.255.0
proxy-arp enable
! habilitando o Proxy ARP na Interface VLAN 1

Abraços a todos