Сетевые решения — Справочник Cisco — Dynamic ARP Inspection - TelecomBook

Сетевые решения — Справочник Cisco — Dynamic ARP Inspection

Автор: Сергей Верещагин

Сайт: Сетевые решения

Дата публикации: 20.06.2009

Dynamic ARP inspection или DAI – функция для защиты от ARP spoofing атак.

ARP spoofing – атака, направленная на перехват трафика между хостами. Если предположить, что в сети есть сервер с IP адресом 192.168.1.50. То атакующее устройство заспамит сеть, сообщая, что IP адрес 192.168.1.50 принадлежит ему. Коммутатор услышит это сообщение и добавит запись в свою ARP таблицу, куда запишет IP адрес сервера соответствующий MAC адресу атакующего устройства. Так, данные отправленные любым хостом на сервер с IP адресом 192.168.1.50 неизбежно попадут на атакаующее устройство, которое затем перешлет эти данные на сервер, чтобы не вызвать подозрение.

Для противодействия данной атаке , Cisco расширила базовую функцию DHCP snooping и добавила к ней своего рода надстройку, которая составляет таблицу всех привязок IP адресов, выданных посредством DHCP сервера.

Далее будем отталкиваться от следующей топологии сети:

                    Gateway to Internet (192.168.1.254)
                             |
                          (gi0/26)
DHCP сервер----(fa0/24)telecombookS1(gi0/25)------(gi0/25)telecombookS2
                          (fa0/1)                          (fa0/1)
                             |                                |
                           Host1                            Host2

Так же, как и при реализации функции DHCP snooping, на обоих коммутаторах необходимо прописать команду ip dhcp snooping , указать VLAN командой ip dhcp snooping vlan 100 в режиме глобальной конфигурации. Затем на интерфейсах fa0/24 telecombookS1 и gi0/25 telecombookS2, смотрящими в сторону DHCP сервера, нужно прописать команду ip dhcp snooping trust.

Далее командой ip arp inspection vlan 100, где 100 – номер VLAN, включается функция защиты от ARP spoofing атак, которая позволяет коммутатору следить за каждой привязкой IP к MAC адресу каждого устройства во всей сети. Осуществляется данная функция таким образом, что коммутатор наблюдает за доверенным интерфейсами, регистрирует проходящие через него DHCP запросы и составляет таблицу привязки IP адресов к MAC адресам. Таблицу привязок можно посмотреть командой show ip dhcp snooping binding.

Обязательно нужно указать доверенные линии связи между коммутаторами, чтобы пакеты, проходящие через них, не подвергались обследованию на соответствие MAC и IP адреса. В нашем случае это линия между gi0/25 telecombookS1 и gi0/25 telecombookS2. Следовательно, в режиме конфигурации данных портов необходимо прописать команду ip arp inspection trust.

Пример для коммутатора telecombookS1:

telecombookS1(config)#ip dhcp snooping
telecombookS1(config)#ip dhcp snooping vlan 100
telecombookS1(config)#interface fastethernet0/24
telecombookS1(config-if)#ip dhcp snooping trust
telecombookS1(config)#ip arp inspection vlan 100
telecombookS1(config)#interface gigabitethernet0/25
telecombookS1(config-if)#ip arp inspection trust

Таким образом, мы оградили от ARP spoofing атаки те хосты, которые получили адрес автоматически. Остается задача защитить от подмены записи в ARP таблице коммутаторов статические адреса DHCP сервера или шлюза.

Для примера защитим ARP записи только для статического адреса шлюза 192.168.1.254 и его MAC адрес 0033.22a3.fa12. Для этого необходимо создать ARP список доступа из режима глобальной конфигурации обоих коммутаторов командой arp access-list GW, где GW – название списка доступа. Затем нужно указать статический IP адрес и MAC адрес шлюза командой permit ip host 192.168.1.254 mac host 0033.22a3.fa12. Далее необходимо привязать созданный список доступа к VLAN 100 командой ip arp inspection filter GW vlan 100 static. Все! Теперь в случае, если какой-либо хост в сети, подключенный к коммутатору telecombookS1 или telecombookS2, решит изменить совой IP адрес на адрес шлюза, то коммутатор, сразу заметит несоответствие IP и MAC адреса и отключит порт.

Вренуть порт в активное состояние можно либо вручную командами shut и no shut, либо воспользоваться функцией errdisable recovery cause arp-inspection, которая включит порт через 300 секунд. Для изменения интервала времени можно воспользоваться командой errdisable recovery interval 60, где 60 – время в секундах.

Пример:

telecombookS1(config)#arp access-list GW
telecombookS1(config-arp-nacl)#permit ip host 192.168.1.254 mac host 0033.22a3.fa12
telecombookS1(config-arp-nacl)#exit
telecombookS1(config)#ip arp inspection filter GW vlan 100 static
telecombookS1(config)#errdisable recovery cause arp-inspection
telecombookS1(config)#errdisable recovery interval 60

Если у вас есть отзыв или замечание по статье, заполните форму, предварительно указав название статьи в заголовке

Понравилась статья? Поделиться с друзьями:
TelecomBook
Яндекс.Метрика