O protocolo ARP possui 3 principais vulnerabilidades:
- Não possui suporte a autenticação
- É suscetível a vazamento de informação via análise de mensagens Broadcast do protocolo durante solicitação de conversa entre dispositivos.
- Força o processamento para os hosts da VLAN para todas as requisições ARP, consumindo CPU e largura de banda.
Umas das principais técnicas utilizadas em ataques ao ARP são conhecidas com ARP Spoofing ou ARP Poisoning. A técnica consiste em encaminhar uma resposta falsa a requisição ARP original ou via Gratuitous ARP, permitindo ao atacante atuar no meio da comunicação (Man-in-the-Middle) para “sniffar” o trafego . O host de origem não perceberia a atuação do atacante.
Clique no link para assistir uma rápida demonstração utilizando o software Cain (em inglês) http://www.irongeek.com/i.php?page=videos/using-cain-to-do-a-man-in-the-middle-attack-by-arp-poisoning
ARP Detection
A detecção de ARP permite ao Switch encaminhar somente o tráfego válido na tabela ARP.O tráfego pode ser validado via 802.1x, entradas estáticas ou via DHCP Snooping, no script abaixo mostraremos a técnica utilizando o modo estático e via o mapeamento do DHCP Snooping.
A utilização da feature DHCP-Snooping permite aos Switches o bloqueio de respostas DHCP de Servidores não-válidos na rede e o mapeamento dos Endereços IP entregue ao usuário com o endereço MAC do host, conforme display abaixo:
[4800G]display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.1.102 0027-0e0f-a154 172653 1 GigabitEthernet1/0/4
D 192.168.1.103 0027-0e0f-9edb 172728 1 GigabitEthernet1/0/12
--- 2 dhcp-snooping item(s) found ---
Quando ativamos a detecção ARP, todas as portas são consideradas não confiáveis comparando o endereço MAC de origem com o mapeamento IP + MAC checado.
# dhcp-snooping !Ativando o DHCP Snooping # vlan 1 arp detection enable !Habilitando a detecção ARP na VLAN 1 # arp detection mode dhcp-snooping !Ativando a detecção ARP para verificação da tabela gerada pelo DHCP Snooping arp detection mode static-bind !Ativando a detecção ARP para verificação da tabela estática arp detection static-bind 192.168.1.104 0027-c686-6681 ! Gerando uma entrada estática para detecção de ARP #
Obs: É possível configurar uma interface como confiável para não haver detecção de ARP naquela porta. Configure o comando “arp detection trust” na interface.
ARP Source Suppression
Para proteção contra ataques à hosts com o envio de grande numero de requisições ARP é possível habilitar a supressão de ARP.
! arp source-suppression enable arp source-suppression limit 10 ! Limita o numero de 10 requisições ARP da mesma origem para endereços ! não resolvidos no threshold de 5 segundos. Se o limite for excedido, ! o Switch efetuará a supressão do ARP do host por 5 segundos.
No guia de configuração dos Switches há maiores referencias e outras técnicas de proteção contra ataques ao ARP. Caso conheça outras técnicas e softwares deixe um comentário.
Abraço a todos!
Referências e Consulta
Lan Switch Security , Eric Vyncke and Christopher Paggen ,Cisco Press, 2008
http://comutadores.blogspot.com/2010/04/switches-3com-4800-dhcp-snooping-como.html
http://www.irongeek.com/i.php?page=security/arpspoof
http://imasters.com.br/artigo/10117/seguranca/arp_poisoning/
Prezados, boa tarde!
Primeiramente, parabéns pelo artigo!
Lendo tive uma dúvida, será que podem me sanar? É o seguinte, se ativar o arp detection no switch baseado no dhcp snooping (DHCP confiável), como ficam as estações que tem IPs atribuídos de forma manual? Tem como permitir esse tráfego ou eles serão barrados? Como funciona isso?
Obrigado!
KC
Olá Kleber, configure os Uplinks e as portas com endereços atribuídos de forma estática com o comando arp detection trust !
Muito artigo.
O arp detection trust faz com que a porta aceite apenas o MAC do que está atualmente conectado? Mas mesmo assim se eu tiver configurado “arp detection mode dhcp-snooping” (para IPs dinâmicos) e “arp detection mode static-bind” ( para IPs estáticos, fixos e manuais) ?
O comando arp detection trust é equivalente ao ip arp inspection da cisco?