Dynamic ARP Protection

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

Dynamic ARP Inspection (Protection) — функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP. Например, атаки ARP-spoofing, позволяющей перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена.

Dynamic ARP Inspection (Protection) регулирует только сообщения протокола ARP и не может повлиять напрямую на трафик пользователей или другие протоколы.

В коммутаторах Cisco функция называется Dynamic ARP Inspection, а в коммутаторах ProCurve — Dynamic ARP Protection. Далее, в описании функции будет использоваться термин Dynamic ARP Inspection, а в соответствующем разделе по настройке функции на коммутаторах ProCurve — Dynamic ARP Protection.

Содержание

[править] Введение

Dynamic ARP Inspection позволяет:

  • защитить клиентов в сети от атак с использованием протокола ARP,
  • регулировать какие сообщения протокола ARP отбрасывать, какие перенаправлять.

Для правильной работы Dynamic ARP Inspection, необходимо указать какие порты коммутатора будут доверенными (trusted), а какие — нет (untrusted, в дальнейшем — ненадёжными):

  • Ненадёжные (Untrusted) — порты, к которым подключены клиенты. Для ненадёжных портов выполняется ряд проверок сообщений ARP.
  • Доверенные (Trusted) — порты коммутатора, к которым подключен другой коммутатор. Сообщения протокола ARP полученные с доверенных портов не отбрасываются.

[править] Принципы работы Dynamic ARP Inspection

Если порт ненадёжный:

  • Коммутатор перехватывает все ARP-запросы и ARP-ответы на ненадёжных портах прежде чем перенаправлять их;
  • Коммутатор проверяет соответствие MAC-адреса IP-адресу на ненадёжных портах.

Проверка соответствия MAC-адреса IP-адресу может выполняться на основании информации:

[править] Настройка Dynamic ARP Protection на коммутаторах ProCurve

Включить dynamic ARP protection:

switch(config)# arp-protect

Включить dynamic ARP protection в VLAN, которые должны быть защищены с его помощью:

switch(config)# arp-protect vlan 3

Указание доверенных портов:

switch(config)# arp-protect trust a3

Просмотр информации о настройках dynamic ARP protection:

switch(config)# show arp-protect

[править] Опциональные настройки Dynamic ARP Protection

Задание статических соответствий IP-MAC:

switch(config)# ip source-binding <vlan-id> <ip-address> <mac-address> <port-id>

Включение дополнительных проверок:

switch(config)# arp-protect validate [src-mac] [dest-mac] [ip]

Параметры команды:

  • src-mac — коммутатор проверяет соответствует ли MAC-адрес источника в заголовке пакета MAC-адресу отправителя в теле ARP-пакета (проверяются ARP-запросы и ARP-ответы). Если эти два адреса не совпадают, то коммутатор отбрасывает пакет;
  • dest-mac — коммутатор проверяет соответствует ли MAC-адрес назначения в заголовке пакета MAC-адресу получателя в теле ARP-пакета. Если эти два адреса не совпадают, то коммутатор отбрасывает пакет;
  • ip — коммутатор проверяет не передается ли "неправильный" IP-адрес в теле ARP-пакета, вместо IP-адреса отправителя и получателя. Если будет обнаружен "неправильный" IP-адрес, то коммутатор отбросит пакет. "Неправильные" адреса:
    • 0.0.0.0
    • 255.255.255.255
    • IP-адреса класса D
    • IP-адреса класса E

[править] Настройка Dynamic ARP Inspection на коммутаторах Cisco

Включение DAI в VLAN:

Switch(config)# ip arp inspection vlan 1

Настройка доверенного порта:

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip arp inspection trust

[править] Dynamic ARP Inspection в среде DHCP

[править] Dynamic ARP Inspection в среде со статическими адресами

ip arp inspection filter vlan 
ip arp inspection filter arp-acl-name vlan vlan-range [static] 
Switch(config)# arp access-list host2
Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 1.1.1
Switch(config-arp-acl)# exit
Switch(config)# ip arp inspection filter host2 vlan 1
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# no ip arp inspection trust

[править] Опциональные настройки Dynamic ARP Inspection

Включение дополнительных проверок:

ip arp inspection validate <[src-mac] [dst-mac] [ip]>

Параметры команды:

  • src-mac — коммутатор проверяет соответствует ли MAC-адрес источника в заголовке пакета MAC-адресу отправителя в теле ARP-пакета (проверяются ARP-запросы и ARP-ответы). Если эти два адреса не совпадают, то коммутатор отбрасывает пакет;
  • dest-mac — коммутатор проверяет соответствует ли MAC-адрес назначения в заголовке пакета MAC-адресу получателя в теле ARP-пакета. Если эти два адреса не совпадают, то коммутатор отбрасывает пакет;
  • ip — коммутатор проверяет не передается ли "неправильный" IP-адрес в теле ARP-пакета, вместо IP-адреса отправителя и получателя. Если будет обнаружен "неправильный" IP-адрес, то коммутатор отбросит пакет. "Неправильные" адреса:
    • 0.0.0.0
    • 255.255.255.255
    • IP-адреса класса D
    • IP-адреса класса E
errdisable recovery cause arp-inspection interval <interval> 

[править] Просмотр настроек

show ip arp inspection interfaces
show errdisable recovery 

[править] Дополнительная информация