Mitigera ARP-attacker

I en typisk ARP-attack kan en hotaktör skicka oönskade (unsolicited) ARP-förfrågningar till andra enheter på delnätet med hotaktörens MAC-adress och IP-adressen för default gateway. För att förhindra ARP-spoofing och den resulterande ARP poisoning måste en switch säkerställa att endast giltiga ARP-förfrågningar och svar vidarebefordras. Detta kan möjliggöras med Dynamisk ARP-inspektion.

Dynamic ARP Inspection, DAI

DAI kräver DHCP-snooping och hjälper till att förhindra ARP-attacker genom att:

  • Inte vidarebefordra ogiltiga eller oönskade ARP-förfrågningar till andra portar i samma VLAN.
  • Avlyssna alla ARP-förfrågningar och svar på icke betrodda portar.
  • Verifiera varje avlyssnat paket för en giltig IP-till-MAC-bindning.
  • Kasta och logga ARP-förfrågningar som kommer från ogiltiga avsändare för att förhindra ARP-förgiftning.
  • Inaktivera interfacet om det konfigurerade antalet ARP-paket för DAI överskrids.

Riktlinjer för implementering av DAI

För att minska risken för ARP-spoofing och ARP-förgiftning, följ dessa riktlinjer för implementering av DAI:

  • Aktivera DHCP-snooping globalt.
  • Aktivera DHCP-snooping på utvalda VLAN.
  • Aktivera DAI på utvalda VLAN.
  • Konfigurera betrodda interface för DHCP-snooping och ARP-inspektion.

Det är generellt att rekommendera att konfigurera alla åtkomstswitchportar som icke betrodda och att konfigurera alla upplänkportar som är anslutna till andra switchar som betrodda.
Den exempeltopologi som visas i figuren identifierar betrodda och icke betrodda portar.

Exempel på DAI-konfiguration

Som exemplet visar är DHCP-snooping aktiveras eftersom DAI behöver DHCP-snooping-bindningstabellen för att kunna fungera. Därefter är både DHCP-snooping och ARP-inspektion aktiverade för datorerna på VLAN 10. Uplink-porten till routern är betrodd och är därmed inställd som betrodd för både DHCP-snooping och ARP-inspektion.

S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust

En enkel konfiguration men som behöver förklaras:

S1(config)# ip dhcp snooping

Detta kommando aktiverar DHCP snooping på switchen. DHCP snooping är en säkerhetsmekanism som övervakar DHCP-trafik på nätverket för att förhindra obehöriga DHCP-servrar från att distribuera IP-adresser till klienter.

S1(config)# ip dhcp snooping vlan 10

Detta kommando aktiverar DHCP snooping specifikt för VLAN 10. Det innebär att DHCP snooping-funktionen kommer att övervaka och skydda DHCP-trafiken inom VLAN 10.

S1(config)# ip arp inspection vlan 10

Dynamic ARP Inspection (DAI) är en säkerhetsfunktion som skyddar nätverket mot ARP spoofing-attacker genom att säkerställa att endast giltiga ARP-begäranden och svar tillåts genomgå switchen. Detta kommando aktiverar DAI för VLAN 10, vilket hjälper till att skydda nätverket mot angrepp som kan omdirigera trafik eller orsaka denial of service.

S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust

Port fa0/24 ställs in som en betrodd port, vilket innebär att den förväntas vara säker och ansluten till en pålitlig källa såsom en DHCP-server eller en router. Genom att använda kommandot ip dhcp snooping trust på denna port, försäkrar vi oss om att switchen accepterar alla DHCP-meddelanden som kommer därifrån som legitima. På samma sätt säkerställer ip arp inspection trust att alla ARP-meddelanden från denna port behandlas som legitima. Dessa inställningar är avgörande för att förhindra att säkerhetsmekanismer på nätverket oavsiktligt blockerar viktig trafik från betrodda källor.

DAI kan också konfigureras för att kontrollera både destinations- eller avsändarens (source)-MAC och IP-adresser:

  • Destination MAC – Kontrollerar destinations-MAC-adressen i Ethernet-headern mot mål-MAC-adressen i ARP-kroppen.
  • Source MAC – Kontrollerar source MAC-adressen i Ethernet-headern mot sändarens MAC-adress i ARP-kroppen.
  • IP address – Kontrollerar ARP-kroppen för ogiltiga och oväntade IP-adresser inklusive adresser 0.0.0.0, 255.255.255.255 och alla IP-multicast-adresser.

Kommandot ip arp inspection validate {[src-mac] [dst-mac] [ip]} i globalt konfigurationsläge är avsett för att ställa in Dynamic ARP Inspection (DAI) så att det avvisar ARP-paket med ogiltiga IP-adresser. Det används också för att säkerställa att MAC-adresserna i ARP-paketets kropp stämmer överens med de som anges i Ethernet-headern.

Notera att endast en konfiguration av ip arp inspection validate kan vara aktiv åt gången. När nya konfigurationer tillkommer, ersätter de tidigare inställningar. För att tillämpa flera valideringskriterier samtidigt, ska de specificeras i samma kommando.

Vad kan vi konfigurera med kommandot ip arp inspection validate ?

S1(config)# ip arp inspection validate ?

dst-mac   Validate destination MAC address
ip        Validate IP addresses
src-mac   Validate source MAC address
S1(config)# ip arp inspection validate src-mac
S1(config)# ip arp inspection validate dst-mac
S1(config)# ip arp inspection validate ip
S1(config)# do show run | include validate
ip arp inspection validate ip
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate
ip arp inspection validate src-mac dst-mac ip
S1(config)#