Перейти к содержанию

Настройка Arp inspection

Описание и назначение функции

Механизм ARP Inspection выполняет проверку ARP-пакетов на соответствие ожидаемым параметрам (IP, MAC, VLAN) и позволяет выявлять попытки подмены ARP (ARP spoofing).

Функция используется для:

  • предотвращения атак ARP spoofing / ARP poisoning;
  • контроля соответствия IP-MAC связок;
  • защиты шлюзов от подмены;
  • ограничения несанкционированного ARP-трафика;
  • контроля пользовательских привязок (user-bind).

Требования и ограничения

Перед настройкой должны быть выполнены:

  • настроены VLAN и интерфейсы доступа;
  • определены точки применения (интерфейсы или VLAN);
  • при использовании user-bind определена политика проверки (ip/mac/vlan);

Ограничения:

  • проверка выполняется для входящего ARP-трафика;
  • некорректная настройка может привести к блокировке легитимного трафика;
  • проверка user-bind требует корректных данных о привязках;

Назначение применяемой команды / конфигурации

Глобальные проверки ARP 

1
2
3
4
5
6
SW1(config)#arp-antiattack ?
  arp-cheat        Check arp packet is cheat
  gateway-cheat    Gateway cheat
  gratuitous-arp   Check arp gratuitous
  src-ip           Check source IP is conflict with ARP table information
  src-mac          Check source MAC is conflict with ARP table information

  • Команда arp-antiattack включает проверки ARP-пакетов:

    • src-ip — проверка соответствия IP-адреса;
    • src-mac — проверка соответствия MAC-адреса;
    • arp-cheat — обнаружение подмены ARP;
    • gratuitous-arp — контроль Gratuitous ARP;
    • gateway-cheat — защита от подмены шлюза. 
      1
2
3
4
5
6
      SW1(config-10ge1/0/24)#arp-antiattack check user-bind ?
  alarm        Alarm function
  check-item   Check item (default value include ip-address,mac-address and
               vlan)
  disable      Disable
  enable       Enable

  • Команда arp-antiattack check user-bind включает проверку соответствия:

    • IP-адреса;
    • MAC-адреса;
    • VLAN;
  • параметр check-item определяет, какие поля проверяются;
  • параметр alarm включает генерацию событий при нарушении.

Пример конфигурации

Включение глобальных проверок 

1
2
3
SW1(config)#arp-antiattack src-ip enable
SW1(config)#arp-antiattack src-mac enable
SW1(config)#arp-antiattack arp-cheat enable
Настройка на VLAN 
1
2
3
SW1(config)#vlan 10
SW1(vlan-10)#arp-antiattack src-ip enable
SW1(vlan-10)#arp-antiattack src-mac enable
Настройка интерфейса 
1
2
3
4
5
SW1(config)#interface 10gigaethernet 1/0/24
SW1(config-10ge1/0/24)#arp-antiattack check user-bind enable
SW1(config-10ge1/0/24)#arp-antiattack check user-bind check-item ip-address
SW1(config-10ge1/0/24)#arp-antiattack check user-bind alarm enable
SW1(config-10ge1/0/24)#arp-antiattack check user-bind alarm threshold 150
Настройка SVI 
1
2
3
SW1(config)#interface vlan 10
SW1(config-vlanif-10)#arp-antiattack check user-bind enable
SW1(config-vlanif-10)#arp-antiattack check user-bind check-item ip-address

Изучение состояния устройства

Проверка user-bind

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
SW1#show arp-antiattack check user-bind

interface 10gigaethernet 1/0/24
 arp-antiattack check user-bind enable
 arp-antiattack check user-bind check-item ip-address
 arp-antiattack check user-bind alarm enable
 arp-antiattack check user-bind alarm threshold 150
-> arp-antiattack dropped ARP packets 0/17

interface vlan 10
 arp-antiattack check user-bind enable
 arp-antiattack check user-bind check-item ip-address
-> arp-antiattack dropped ARP packets 0/0

Статистика атак

1
2
3
4
5
6
7
SW1#show arp-antiattack statistic
 Untrust host attack number : ---
-> Source Ip conflict number : 0
-> Source Mac conflict number : 258
 Gateway cheat number : 0
 Dynamic learning host number : ---
 No-DHCP user attack number : ---

Просмотр конфигурации

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
SW1#show run
!Device running configuration:
!version V1.0.2
!1970/02/15 16:16:40
!
hostname SW1
header login "helllosslqslqsq!!"
!
vlan 1,10
!
arp-antiattack src-ip enable
arp-antiattack src-mac enable
!
interface vlan 10
!
interface 10gigaethernet 1/0/24
 port link-type access
 port default vlan 10
 arp-antiattack check user-bind enable
 arp-antiattack check user-bind check-item ip-address
 arp-antiattack check user-bind alarm enable
 arp-antiattack check user-bind alarm threshold 150
!

История возникновения команды

Команды применимы для:

  • аппаратных платформ CIT серии L3200;
  • версий программного обеспечения v1.0.2 и выше.

Версия ПО

Функциональность является актуальной, начиная с версии ПО v1.0.2.

Ссылка на внешнюю документацию

Стандарт

  • RFC 826 — An Ethernet Address Resolution Protocol