Dynamic ARP Inspection
Útočník může pomocí zprávy “ARP reply” ve které uvede např. IP adresu brány a svou MAC adresu, přesměrovat provoz na sebe a stát se man in the middle. Tomuto útoku se říká “ARP poisoning” nebo “ARP spoofing”. Cisco switche k prevenci tohoto útoku používají DAI - Dynamic ARP Inspection. DAI funguje podbně jako DHCP Snooping, dělí porty na trusted a untrusted. Na trusted portech se nic neprověřuje - ideální pro trunk do jiného switche, kde na access portech probíhá také DAI. Na untrusted portech probíhá kontrola IP a MAC adresy v ARP reply na základě staticky zadaných informací nebo pomocí DHCP Snooping databáze. Pokud dojde k nesrovnalosti, je ARP reply zahozen a je vygenerována log zpráva.
Zapnutí DAI:
- Switch(config)# ip arp inspection vlan vlan-range
Defaultně jsou po zapnutí všechny porty untrusted. Nastavení Trusted portu:
- Switch(config)# interface type mod/num
- Switch(config-if)# ip arp inspection trust
Pro hosty se statickou IP je třeba vytvořit ACL, který definuje povolené MAC-IP kombinace.:
- Switch(config)# arp access-list acl-name
- Switch(config-acl)# permit ip host sender-ip mac host sender-mac [log]
- [Opakujte předchozí příkaz kolikrát je třeba]
- Switch(config-acl)# exit
Aplikace ACL na DAI:
- Switch(config)# ip arp inspection filter arp-acl-name vlan vlan-range [static]
ARP replies jsou zachytávány a vyhodnocovány dle ACL, pokud v ACL není nalezena shoda, přejde se k vyhodnocení dle DHCP Snooping databáze. Avšak, je-li ACL aplikován an DAI s parametrem static, vyhodnocení proběhne jen na zákl. ACL.
Def. jsou vyhodnocována jen pole s adresami v ARP reply, skutečné adresy v ethernetovém rámci vyhodnocovány nejsou. Zapnutí vyhodnocování i skutečných adres v rámci:
- Switch(config)# ip arp inspection validate {[src-mac] [dst-mac] [ip]}
- src-mac - porovnává src.MAC v ethernetovém rámci se src.MAC v ARP reply
- dst-mac - porovnává dst.MAC v ethernetovém rámci s dst.MAC v ARP reply
- ip - porovnává src.IP v ARP requestech s dst.IP v ARP replies
- musí být zvolena alespoň jedna metoda
- Switch# show ip arp inspection
