Dynamic ARP Protection
Материал из Xgu.ru
- Автор: Наташа Самойленко
Dynamic ARP Inspection (Protection) — функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP. Например, атаки ARP-spoofing, позволяющей перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена.
Dynamic ARP Inspection (Protection) регулирует только сообщения протокола ARP и не может повлиять напрямую на трафик пользователей или другие протоколы.
В коммутаторах Cisco функция называется Dynamic ARP Inspection, а в коммутаторах ProCurve — Dynamic ARP Protection. Далее, в описании функции будет использоваться термин Dynamic ARP Inspection, а в соответствующем разделе по настройке функции на коммутаторах ProCurve — Dynamic ARP Protection.
Содержание |
[править] Введение
Dynamic ARP Inspection позволяет:
- защитить клиентов в сети от атак с использованием протокола ARP,
- регулировать какие сообщения протокола ARP отбрасывать, какие перенаправлять.
Для правильной работы Dynamic ARP Inspection, необходимо указать какие порты коммутатора будут доверенными (trusted), а какие — нет (untrusted, в дальнейшем — ненадёжными):
- Ненадёжные (Untrusted) — порты, к которым подключены клиенты. Для ненадёжных портов выполняется ряд проверок сообщений ARP.
- Доверенные (Trusted) — порты коммутатора, к которым подключен другой коммутатор. Сообщения протокола ARP полученные с доверенных портов не отбрасываются.
[править] Принципы работы Dynamic ARP Inspection
Если порт ненадёжный:
- Коммутатор перехватывает все ARP-запросы и ARP-ответы на ненадёжных портах прежде чем перенаправлять их;
- Коммутатор проверяет соответствие MAC-адреса IP-адресу на ненадёжных портах.
Проверка соответствия MAC-адреса IP-адресу может выполняться на основании информации:
- Базы данных привязки DHCP,
- Статических записей
[править] Настройка Dynamic ARP Protection на коммутаторах ProCurve
Включить dynamic ARP protection:
switch(config)# arp-protect
Включить dynamic ARP protection в VLAN, которые должны быть защищены с его помощью:
switch(config)# arp-protect vlan 3
Указание доверенных портов:
switch(config)# arp-protect trust a3
Просмотр информации о настройках dynamic ARP protection:
switch(config)# show arp-protect
[править] Опциональные настройки Dynamic ARP Protection
Задание статических соответствий IP-MAC:
switch(config)# ip source-binding <vlan-id> <ip-address> <mac-address> <port-id>
Включение дополнительных проверок:
switch(config)# arp-protect validate [src-mac] [dest-mac] [ip]
Параметры команды:
- src-mac — коммутатор проверяет соответствует ли MAC-адрес источника в заголовке пакета MAC-адресу отправителя в теле ARP-пакета (проверяются ARP-запросы и ARP-ответы). Если эти два адреса не совпадают, то коммутатор отбрасывает пакет;
- dest-mac — коммутатор проверяет соответствует ли MAC-адрес назначения в заголовке пакета MAC-адресу получателя в теле ARP-пакета. Если эти два адреса не совпадают, то коммутатор отбрасывает пакет;
- ip — коммутатор проверяет не передается ли "неправильный" IP-адрес в теле ARP-пакета, вместо IP-адреса отправителя и получателя. Если будет обнаружен "неправильный" IP-адрес, то коммутатор отбросит пакет. "Неправильные" адреса:
- 0.0.0.0
- 255.255.255.255
- IP-адреса класса D
- IP-адреса класса E
[править] Настройка Dynamic ARP Inspection на коммутаторах Cisco
Включение DAI в VLAN:
Switch(config)# ip arp inspection vlan 1
Настройка доверенного порта:
Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# ip arp inspection trust
[править] Dynamic ARP Inspection в среде DHCP
[править] Dynamic ARP Inspection в среде со статическими адресами
ip arp inspection filter vlan
ip arp inspection filter arp-acl-name vlan vlan-range [static]
Switch(config)# arp access-list host2 Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 1.1.1 Switch(config-arp-acl)# exit Switch(config)# ip arp inspection filter host2 vlan 1 Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# no ip arp inspection trust
[править] Опциональные настройки Dynamic ARP Inspection
Включение дополнительных проверок:
ip arp inspection validate <[src-mac] [dst-mac] [ip]>
Параметры команды:
- src-mac — коммутатор проверяет соответствует ли MAC-адрес источника в заголовке пакета MAC-адресу отправителя в теле ARP-пакета (проверяются ARP-запросы и ARP-ответы). Если эти два адреса не совпадают, то коммутатор отбрасывает пакет;
- dest-mac — коммутатор проверяет соответствует ли MAC-адрес назначения в заголовке пакета MAC-адресу получателя в теле ARP-пакета. Если эти два адреса не совпадают, то коммутатор отбрасывает пакет;
- ip — коммутатор проверяет не передается ли "неправильный" IP-адрес в теле ARP-пакета, вместо IP-адреса отправителя и получателя. Если будет обнаружен "неправильный" IP-адрес, то коммутатор отбросит пакет. "Неправильные" адреса:
- 0.0.0.0
- 255.255.255.255
- IP-адреса класса D
- IP-адреса класса E
errdisable recovery cause arp-inspection interval <interval>
[править] Просмотр настроек
show ip arp inspection interfaces
show errdisable recovery
[править] Дополнительная информация
ProCurve | ||
---|---|---|
Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless | |
Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
Настройка | ||
Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
Разное | Опция 82 DHCP | SNMP в ProCurve |