Mitigera DHCP attacker Mitigera STP attacker
I en typisk ARP-attack kan en angripare skicka falska ARP-meddelanden till andra enheter på nätverket, där angriparens MAC-adress paras ihop med IP-adressen för nätverkets default gateway. Detta kan leda till ARP spoofing och den resulterande ARP poisoning, där angriparen avlyssnar eller manipulerar nätverkstrafik. För att skydda mot detta måste switchen säkerställa att endast giltiga ARP-förfrågningar och svar skickas vidare, vilket kan uppnås med Dynamic ARP Inspection (DAI).
Dynamic ARP Inspection, DAI
DAI kräver DHCP snooping och hjälper till att förhindra ARP-attacker genom att:
- Blockera ogiltiga eller oönskade ARP-förfrågningar från att nå andra portar i samma VLAN.
- Övervaka alla ARP-förfrågningar och svar på icke betrodda portar.
- Verifiera varje ARP-paket för att säkerställa att IP-till-MAC-kopplingen är giltig.
- Kassera och logga ARP-förfrågningar från ogiltiga avsändare för att förhindra ARP poisoning.
- Inaktivera en port om den överskrider det konfigurerade antalet ARP-paket som tillåts av DAI.
Riktlinjer för implementering av DAI
För att minska risken för ARP spoofing och ARP poisoning, följ dessa riktlinjer för implementering av DAI:
- Aktivera DHCP snooping globalt.
- Aktivera DHCP snooping på utvalda VLAN.
- Aktivera DAI på utvalda VLAN.
- Konfigurera trusted interface för DHCP snooping och ARP inspection.
Rekommendationen är att ställa in alla åtkomstportar (de portar som användarenheter ansluter till) som icke betrodda, och konfigurera alla upplänksportar (de portar som ansluter till andra switchar) som betrodda. I figuren visas ett exempel där identifieras betrodda och icke betrodda portar.
Exempel på DAI-konfiguration
I exemplet har DHCP snooping aktiverats globalt, vilket ger DAI tillgång till bindnings tabellen som behövs för att validera enheter. DHCP snooping och ARP inspection är också aktiverade för datorerna i VLAN 10. Upplänksporten till routern är inställd som betrodd för både DHCP snooping och ARP inspection, vilket säkerställer att nätverket är skyddat mot otillåtna ARP-ändringar.
Aktivera DHCP snooping globalt S1(config)# ip dhcp snooping Aktivera DHCP snooping för utvalda VLAN S1(config)# ip dhcp snooping vlan 10 Aktivera DAI för utvalda VLAN S1(config)# ip arp inspection vlan 10 Definiera interface fa0/24 som trusted port för DHCP snooping och ARP inspection (DAI) S1(config)# interface fa0/24 S1(config-if)# ip dhcp snooping trust S1(config-if)# ip arp inspection trust
Port fa0/24 ställs in som betrodd eftersom den ansluter till en pålitlig enhet, som en DHCP-server eller router. Detta innebär att DHCP- och ARP-meddelanden från denna port behandlas som legitima och inte blockeras av säkerhetsmekanismerna.
Mer om DAI-konfigurationer
För att ytterligare stärka skyddet mot ARP attacker kan DAI konfigureras för att kontrollera destination- och avsändaradresserna i ARP-paket. Dessa kontroller säkerställer att all information i ARP-paketet är korrekt och förhindrar att falska ARP-paket accepteras.
Använd följande kommando för att aktivera dessa kontroller:
S1(config)# ip arp inspection validate src-mac dst-mac ip
Detta kommando gör att switchen verifierar att:
- Destination MAC adressen i Ethernet-headern matchar mottagarens MAC-adress i ARP-paketet.
- Source MAC adress i Ethernet-headern matchar avsändarens MAC-adress i ARP-paketet.
- IP-adressen i ARP-paketet är giltig och inte en oväntad adress, som 0.0.0.0, 255.255.255.255 eller en multicast-adress.
Observera: Endast en ip arp inspection validate-konfiguration kan vara aktiv åt gången. Om flera kriterier behövs, specificera dem i samma kommando.
Exempel på hur ARP inspection validate kan konfigureras:
För att visa möjliga konfigurationer: S1(config)# ip arp inspection validate ? dst-mac Validate destination MAC address ip Validate IP addresses src-mac Validate source MAC address Validera source MAC adress i ARP-paketet S1(config)# ip arp inspection validate src-mac Validera destination MAC adress i ARP paketet S1(config)# ip arp inspection validate dst-mac Validera IP-adresser i ARP-paketet S1(config)# ip arp inspection validate ip För att visa aktuell konfiguration för validering av IP-adresser S1(config)# do show run | include validate ip arp inspection validate ip Aktivera validering för alla tre alternativ src-mac, dst-mac, och ip i ARP-paketet S1(config)# ip arp inspection validate src-mac dst-mac ip Visa den uppdaterade konfigurationen för alla tre valideringar S1(config)# do show run | include validate ip arp inspection validate src-mac dst-mac ip S1(config)#