Comprar ou Renovar
Comprar ou Renovar
EM BREVE: Os releases notes do Umbrella e do Secure Access chegarão à Comunidade Cisco. A comunidade estará em modo somente leitura de 16 a 19 de agosto. Saiba mais.
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
381
Apresentações
2
Útil
3
Comentários

Ataques L2 - Arp spoofing

Silesio de Carvalho
Spotlight
Spotlight

em ‎06-28-2024 11:51 AM

O ARP spoofing, também conhecido como envenenamento ARP, é um tipo de ataque cibernético onde um atacante envia mensagens ARP (Address Resolution Protocol) falsificadas numa rede local. Isto resulta na associação do endereço MAC do atacante com o endereço IP de um computador ou servidor legítimo na rede. Uma vez que o endereço MAC do atacante está associado a um endereço IP confiável, o atacante pode interceptar, modificar ou parar os dados destinados a esse endereço IP.

 

Como os Ataques de ARP Spoofing são Realizados

 

  1. Descoberta: O atacante varre a rede para identificar os endereços IP e MAC dos dispositivos na rede.

  2. Envenenamento: O atacante envia respostas ARP forjadas para os dispositivos alvo. Estas respostas contêm o endereço MAC do atacante, mas afirmam ser do endereço IP de outro dispositivo.

  3. Intercepção: Uma vez que os dispositivos alvo atualizam as suas tabelas ARP com o endereço MAC do atacante para o endereço IP falsificado, o atacante pode interceptar o tráfego destinado ao dispositivo legítimo.

  4. Man-In-The_Midle: O atacante pode encaminhar o tráfego interceptado para o destinatário pretendido, fazendo parecer que a comunicação na rede é normal, ou pode modificar os dados antes de os encaminhar.

 

Como prevenir o ataque?

 

Dynamic ARP Inspection (DAI):

O DAI é uma funcionalidade de segurança que intercepta, regista e descarta pacotes ARP com associações inválidas de endereços MAC para IP. Garante que apenas pedidos e respostas ARP válidos são retransmitidos.

Switch(config)# ip arp inspection vlan [vlan-id]
Switch(config)# interface [interface-id]
Switch(config-if)# ip arp inspection trust

 

Port Security

Port security limita o número de endereços MAC válidos permitidos numa porta. Pode ser usada para impedir que um atacante utilize um número excessivo de endereços MAC.

Switch(config)# interface [interface-id]
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum [número]
Switch(config-if)# switchport port-security violation [protect|restrict|shutdown]
Switch(config-if)# switchport port-security mac-address sticky

 

DHCP Snooping

O DHCP snooping atua como um firewall entre hosts não confiáveis e servidores DHCP confiáveis. Filtra mensagens DHCP não confiáveis e constrói uma tabela de associações.

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan [vlan-id]
Switch(config)# interface [interface-id]
Switch(config-if)# ip dhcp snooping trust


Entradas ARP Estáticas

Em dispositivos críticos, podem ser configuradas entradas ARP estáticas para prevenir o ARP spoofing. Este método associa manualmente um endereço IP a um endereço MAC.

Switch(config)# arp [endereço-ip] [endereço-mac] ARPA

 

 Melhores Práticas para Prevenção


Monitorização Regular: Monitorizar regularmente o tráfego de rede para pedidos e respostas ARP incomuns.

Segmentação da Rede: Segmentar a rede para limitar o domínio de broadcast e reduzir o risco de ataques de ARP spoofing.

 

Comentários
Albertina_Paulo
Spotlight
Spotlight
‎06-28-2024 03:00 PM

Sensacional, muito top o artigo, muito obrigada por compartilhar, apesar de já ter noções básicas mais aprendi de forma mais aprofundada e gostei, estamos juntos.

 

Durooo

ana_julia_teixeira
Level 1
Level 1
‎06-28-2024 10:54 PM

Ótimo artigo @Silesio de Carvalho mas estou com uma dúvida quanto ao DHCP snooping, quando refere-se a servidor DHCP refere-se a qualquer tipo, por exemplo eu posso activar o DHCP snooping no meu switch se o meu Servidor DHCP for um Windows Server?

thomas235689
Level 1
Level 1
‎07-02-2024 05:12 AM

Sim ana_julia_teixeira , você pode apontar o DHCP Snooping para confiar apenas na VLAN ou interface física da qual virá o tráfego de DHCP confiável (No seu caso o windows server); As demais interfaces na qual você receber mensagens de DHCP offer, por exemplo numa tentativa de ataque man-in-the-middle, o switch verá na sua tabela que não se trata da interface com DHCP snooping trust habilitado e irá bloquear aquela interface;

Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Vídeo dos últimos eventos Pergunte aos Especialistas Blogs de Segurança
Customers Also Viewed These Support Documents