No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar defensa contra ataques ARP MITM

Ejemplo para configurar defensa contra ataques ARP MITM

Descripción general de DAI

La seguridad del Protocolo de resolución de direcciones (ARP) protege los dispositivos de red contra los ataques de ARP al aprender las entradas de ARP, limitar la velocidad de paquetes de ARP y comprobar los paquetes de ARP. Además de prevenir los ataques del protocolo ARP, la seguridad ARP también previene los ataques de escaneo de red basados ​​en ARP.

El ataque Man-in-the-middle (MITM) es un ataque ARP que se lanza con frecuencia. El atacante funciona como el "Man-in-the-middle" para interceptar datos.

Para defenderse de los ataques MITM, despliegue la inspección ARP dinámica (DAI) en el dispositivo.

DAI defiende de ataques MITM utilizando entradas de vinculación. Cuando un dispositivo recibe un paquete ARP, compara la dirección IP de origen, la dirección MAC de origen, la información de la interfaz y la ID de VLAN del paquete ARP con las entradas de vinculación. Si el paquete ARP coincide con una entrada de vinculación, el dispositivo considera que el paquete ARP es válido y permite que el paquete pase. Si el paquete ARP no coincide con ninguna entrada de vinculación, el dispositivo considera que el paquete ARP no es válido y descarta el paquete.

NOTA:

El dispositivo habilitado con DHCP snooping genera entradas de vinculación DHCP snooping cuando los usuarios de DHCP se conectan. Si un usuario usa una dirección IP estática, debe configurar manualmente una entrada de vinculación estática para el usuario.

Notas de configuración

En V100R006C05, S2300SI no es compatible con la función de espionaje DHCP. Este ejemplo se aplica a todos los modelos en otras versiones.

Requisitos de red

Como se muestra en Figura 12-11, SwitchA se conecta al servidor DHCP usando GE2/0/1, se conecta a los clientes UsuarioA y UsuarioB de DHCP usando GE1/0/1 y GE1/0/2, y se conecta al UsuarioC configurado con una dirección IP estática usando GE1/0/3. GE1/0/1, GE1/0/2, GE1/0/3, yGE2/0/1 en SwitchA todos pertenecen a la VLAN 10. El administrador desea evitar los ataques ARP MITM y el robo en la información del usuario autorizado, y conocer la frecuencia y el rango de los ataques de ARP MITM.

Figura 12-11  Diagrama de redes para defenderse contra ataques ARP MITM

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:
  1. Habilite DHCP snooping y configure una entrada de vinculación estática.
  2. Habilite DAI para que SwitchA compare la dirección IP de origen, la dirección MAC de origen, la información de interfaz y la ID de VLAN del paquete ARP con las entradas de vinculación. Esto previene los ataques de ARP MITM.

Procedimiento

  1. Cree una VLAN y agregue interfaces a la VLAN.

    # Cree VLAN 10 y agregue GE1/0/1, GE1/0/2, GE1/0/3, y GE2/0/1 a VLAN 10.

    <Quidway> system-view
    [Quidway] sysname SwitchA
    [SwitchA] vlan batch 10
    [SwitchA] interface gigabitethernet 1/0/1
    [SwitchA-GigabitEthernet1/0/1] port link-type access
    [SwitchA-GigabitEthernet1/0/1] port default vlan 10
    [SwitchA-GigabitEthernet1/0/1] quit
    [SwitchA] interface gigabitethernet 1/0/2
    [SwitchA-GigabitEthernet1/0/2] port link-type access
    [SwitchA-GigabitEthernet1/0/2] port default vlan 10
    [SwitchA-GigabitEthernet1/0/2] quit
    [SwitchA] interface gigabitethernet 1/0/3
    [SwitchA-GigabitEthernet1/0/3] port link-type access
    [SwitchA-GigabitEthernet1/0/3] port default vlan 10
    [SwitchA-GigabitEthernet1/0/3] quit
    [SwitchA] interface gigabitethernet 2/0/1
    [SwitchA-GigabitEthernet2/0/1] port link-type trunk
    [SwitchA-GigabitEthernet2/0/1] port trunk allow-pass vlan 10
    [SwitchA-GigabitEthernet2/0/1] quit
    

  2. Configure DHCP snooping.

    # Habilite DHCP snooping globalmente.

    [SwitchA] dhcp enable
    [SwitchA] dhcp snooping enable
    

    # Habilite DHCP snooping en VLAN 10.

    [SwitchA] vlan 10
    [SwitchA-vlan10] dhcp snooping enable
    [SwitchA-vlan10] quit
    

    # Configure GE2/0/1 como interfaz de confianza.

    [SwitchA] interface gigabitethernet 2/0/1
    [SwitchA-GigabitEthernet2/0/1] dhcp snooping trusted
    [SwitchA-GigabitEthernet2/0/1] quit
    

    # Configure una tabla de vinculación estática.

    [SwitchA] user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface gigabitethernet 1/0/3 vlan 10
    

  3. Habilite DAI.

    # Habilite DAI en GE1/0/1, GE1/0/2, y GE1/0/3. GE1/0/1 se usan como un ejemplo. Configuraciones de GE1/0/2 y GE1/0/3 son similares a la configuración de GE1/0/1, y no se mencionan aquí.

    [SwitchA] interface gigabitethernet 1/0/1
    [SwitchA-GigabitEthernet1/0/1] arp anti-attack check user-bind enable   //Habilite la inspección ARP dinámica (compruebe los paquetes ARP contra una tabla vinculada).
    [SwitchA-GigabitEthernet1/0/1] quit
    

  4. Verifique la configuración

    # Ejecute el comando de display arp anti-attack configuration check user-bind interface para verificar la configuración de DAI en cada interfaz. GE1/0/1 se usan como un ejemplo.

    [SwitchA] display arp anti-attack configuration check user-bind interface gigabitethernet 1/0/1
     arp anti-attack check user-bind enable
    

    # Ejecute el comando de display arp anti-attack statistics check user-bind interface para comprobar la cantidad de paquetes ARP descartados basada en DAI. GE1/0/1 se usan como un ejemplo.

    [SwitchA] display arp anti-attack statistics check user-bind interface gigabitethernet 1/0/1
     Dropped ARP packet number is 966                                                 
     Dropped ARP packet number since the latest warning is 605
    

    En el resultado de comando anterior, se muestra la cantidad de paquetes ARP descartados en GE1/0/1, lo que indica que la defensa contra los ataques ARP MITM ha tenido efecto.

    Cuando ejecuta el comando display arp anti-attack statistics check user-bind interface para varias veces en cada interfaz, el administrador puede conocer la frecuencia y el rango de los ataques ARP MITM en función de la cantidad de paquetes ARP descartados.

Archivo de configuración

# Archivo de configuración de SwitchA

#
sysname SwitchA
#
vlan batch 10
#
dhcp enable                                                                     
#
dhcp snooping enable                                                            
user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface GigabitEthernet1/0/3 vlan 10
#                                                                               
vlan 10                                                                          
 dhcp snooping enable                                              
#                                                                               
interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 10
 arp anti-attack check user-bind enable
#   
interface GigabitEthernet1/0/2
 port link-type access
 port default vlan 10
 arp anti-attack check user-bind enable
#
interface GigabitEthernet1/0/3
 port link-type access
 port default vlan 10
 arp anti-attack check user-bind enable
#   
interface GigabitEthernet2/0/1
 port link-type trunk                                                           
 port trunk allow-pass vlan 10                                                   
 dhcp snooping trusted                                                            
#   
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15660

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente