(T) Teoria Dynamic ARP Inspection*

DAI – Dynamic ARP Inspection

  • Funkcja DAI (Dynami ARP Inspection) chroni przełącznik sieciowy przed atakami typu APR Spoofing, przy współpracy z funkcją DHCP Snooping, a co za tym idzie wsparciu bazy DHCP Binding.
  • Dzięki bazie DHCP Binding funkcja DAI weryfikuje nadchodzące zapytania oraz odpowiedzi protokołu ARP, pod względem zgodności przypisanego adresu IP do adresu MAC. Jeżeli stacja końcowa w odpowiedzi na zapytanie „ARP Request”, poda inny adres IP niż ten uzyskany za pomocą protokołu DHCP (Przy włączonej funkcji DHCP Snooping jak i funkcji DAI), przełącznik zablokuje daną wiadomości ARP.
  • Funkcja DAI podobnie jak funkcja DHCP Snooping, dzieli interfejsy przełącznika na zaufane i niezaufane, kontrolując każde wychodzące zapytania „ARP Request” jak i nadchodzącą odpowiedź „ARP reply”, na wszystkich interfejsach niezaufanych. Podczas inspekcji ARP przełącznik kieruje się następującą logiką:
    1. Jeżeli podany w wiadomości „ARP reply” adres źródłowy IP nie został nadany za pomocą serwera DHCP, funkcja DAI zablokuje daną wiadomość ARP.
    2. Jeżeli podany w wiadomość „ARP reply” adres źródłowy IP, nie jest przypisany statycznie do adresu MAC w pamięci urządzenia, odpowiedź ARP zostanie zablokowana.
    3. Jeżeli podany w ramce eternitowej źródłowy adres MAC w jest inny niż adres źródłowy podany w wiadomości ARP, funkcja DAI zablokuje daną wiadomość ARP.
    4. Jeżeli podany w ramce eternitowej docelowy adres MAC w jest inny niż adres docelowy podany w wiadomości ARP, funkcja DAI zablokuje daną wiadomość ARP.
    5. Funkcja DAI dodatkowo weryfikuje wiadomości ARP zawierające adresy IP takie jak 0.0.0.0 czy 255.255.255.255.
Przed włączeniem inspekcji ARP na przełączniku należy skonfigurować funkcję DHCP Snooping wraz z weryfikacją adresów MAC, ponawiając w razie potrzeby przydział adresów IP na wszystkich zaadresowanych hostach bądź statycznie przypisując adresy IP do adresów MAC z wykorzystaniem funkcji „binding”.
Funkcja DAI porzuca (Discard), przechwytuje (Intercepts) oraz monitoruje (Log) niepasujący ruch sieciowy.

Pozostałe artykuły dotyczące bezpieczeństwa warstwy drugiej

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz