قابلیت Dynamic ARP Inspection – DAI چیست؟
جلوگیری از حملات ARP Spoofing با استفاده از Dynamic ARP Inspection – DAI
قابلیت DAI به ما کمک میکند تا با کمک قابلیت های DHCP از حملات ARP Spoofing جلوگیری کنیم. به همین دلیل DAI به صورت همزمان با قابلیت DHCP Snooping بکار می رود. بیایید ببینیم که DAI چگونه کار محافظت را انجام می دهد.
DHCP Snooping یک جدول ارتباط بین آدرس های MAC و آی پی های اختصاص داده شده را تشکیل می دهد. در صورت نیاز حتی میتوانیم آی پی هایی که به صورت Static تخصیص داده شده است را اضافه کنیم. این جدول ارتباطی DHCP توسط DAI استفاده می شود.
ARP چیست؟
هدف درخواست های ARP در شبکه، تهیه نقشه ارتباط آدرس MAC به آدرس IP دستگاه است. به عبارت دیگر وقتی یک دستگاه در شبکه بخواهد آدرس MAC مربوط به یک آدرس IP را پیدا کند، دستگاه می تواند درخواست ARP ارسال کند. پاسخ ARP به دستگاه درخواست کننده شامل آدرس MAC درخواستی است.
راهکار DAI جهت جلوگیری از ARP Spoofing
با استفاده از قابلیت DAI میتوان شبکه ها را در مقابل حملات جعل هویت ARP محافظت کرد. عملکرد این قابلیت شبیه به DHCP Snooping است. از پورت های قابل اعتماد و غیر قابل اعتماد استفاده می کند. پاسخ های ARP فقط در پورت های قابل اعتماد وارد پورت سوئیچ می شوند. اگر پاسخ ARP به سوئیچ از پورت غیر قابل اعتماد ویا untrusted port بیاید، محتویات بسته پاسخ ARP با جدول اتصال DHCP مقایسه می شود تا صحت آن بررسی شود. اگر پاسخ ARP معتبر نباشد و در جدول DHCP Snooping نباشد، پاسخ ARP داده نمی شود و همچنین آن پورت غیرفعال می شود.
برای پیکربندی Dynamic ARP Inspection باید این کار را برای یک یا چند VLAN انجام دهیم. به عنوان مثال فعال کردن DAI برای VLAN 60:
Switch1(config)# ip arp inspection vlan 60
تنظیمات پیش فرض Dynamic ARP Inspection باعث می شود تمام پورت های سوئیچ غیر قابل اعتماد untrust شوند. بنابراین موارد مورد اعتماد باید مشخص شوند. این پورت قابل اعتماد پورت هایی هستند که انتظار می رود پاسخ های ARP از آنها دریافت شود. پیکربندی بندر Gigabit 0/1 به عنوان یک پورت قابل اعتماد DAI مانند زیر است:
Switch1(config)# interface gigabitethernet 0/1
Switch1(config-if)# ip arp inspection trust
اگر تمایل دارید در زمینه امنیت لایه ۲ بیشتر بدانید پیشنهاد میکنم به دوره امنیت لایه دو سر بزنید.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
119 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
183 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.67k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.16k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.38k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.55k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.