Port Security ARP Spoofing Junos

Home » Blog » Configuration Template » Juniper » Port Security ARP Spoofing Junos

Port Security ARP Spoofing Junos

07.02 2024 | by massimiliano

ARP è una tecnologia per mappare MAC addresses di uno switch all’interno di un segmento di rete LAN con IP […]



ARP è una tecnologia per mappare MAC addresses di uno switch all’interno di un segmento di rete LAN con IP addresses (MAC-to-IP).

Quando un ARP entry per uno specifico MAC address non esiste nell’ARP table, un pacchetto broadcast viene generato e trasmesso fuori lo switch per imparare/conoscere il MAC address corrispondente con il livello 3 address.

ARP spoofing (conosciuto anche come ARP poisong) è un attacco di tipo «man-in-the-middle» che simula (di fatto spoofs via un ARP packet) un MAC address di un nodo vittima e di fatto il traffico devia da sorgente a destinazione leggittima a sorgente a destinazione illeggittima.

Il processo DAI (Dynamic ARP Inspection) previene da questo tipo di attacchi, andando ad intercettare l’ARP packets sulle porte di tipo untrusted e validarlo secondo il DHCP snooping database.

Controlla se il MAC address sorgente dell’ARP packet match con le entries valide del DB DHCP snooping e:

Se non c’è corrispondenza (IP-MAC entry) nel database, il DAI scarta l’ARP packet

Se l’indirizzo IP all’interno del pacchetto è invalido, il DAI scarta l’ARP packet

Di default l’ARP spoofing è disabilitato ed è possibile abilitarlo per singola VLAN (no per ogni porta).

Se una porta in access-mode è collegata ad un host con un indirizzo IP statico di un segmento di rete LAN che ha il DHCP snooping ed il DAI abilitato, è necessario configurare la porta come trusted port e permettere all’ARP packet di passare.

Il comando per settare le porte come trusted è «dhcp-trusted»

Esempio di configurazione DAI:

set ethernet-switching-option secure-access-port interface ge-0/0/6.0 dhcp-trusted  # marca interfaccia come sicura e bypass ARP inspection

set ethernet-switching-option secure-access-port vlan default arp-inspection  # abilita il DAI per specified vlan

set ethernet-switching-option secure-access-port vlan default examine-dhcp  # abilita DHCP snooping per specified vlan (required for DAI)

Verifica:

show dhcp snooping binding

show arp inspection statistics interface ge-0/0/6.0

Torna in alto