Dynamic ARP Inspection چیست

در این مقاله می خواهیم در مورد اینکه Dynamic ARP Inspection چیست

و اینکه چگونه باعث امن تر شدن شبکه LAN می شود صحبت کنیم.

Dynamic ARP Inspection یک قابلیت امنیتی در سوئیچ های شبکه به خصوص سوئیچ های سیسکو است.

که در لایه Data Linke  یعنی لایه دوم از مدل مرجع OSI کار می کند.

که از جعل هویت Hostها و حمله Man in the Middle جلوگیری می کند.

Man in the Middle

برای ارتباط کامپیوترها در لایه دو نیاز به MAC address است .

پروتکل ARP وظیفه بدست آوردن MAC address کامپیوتر های موجود در شبکه از طریق IP address را دارد .

به عنوان مثال Host A می خواهد به Host B داده هایی ارسال کند ولی از MAC address آن با خبر نیست.

در نتیچه از پروتکل ARP استفاده کرده و بسته داده ARP به سوئیچ رسیده و آن را Broadcast می کند

و تمام Hostها بسته ARP را دریافت می کنند و در صورت مطابقت IP address مقصد با IP address خود آن را دریافت میکند

و در صورت عدم تطابق آن را Drop می کند که در این مثال Host B آن را دریافت

و MAC address خود را داخل بسته قرار داده و به سمت Host A ارسال می کند.

حال اگر بعد از Broadcast کردن بسته  Host C , ARP مک آدرس خود را برای  Host A ارسال کند

و خود را جای Host B جا بزند .بدون آنکه هیچ دستگاهی متوجه شود جعل هویت اتفاق می افتد

و Host C به راحتی میتواند اطلاعات با آدرس مقصد Host B را استخراج کرده

و بعد داده ها را به سمت مقصد اصلی یعنی Host B  بدون اینکه متوجه شود ارسال کند.

راهکار Dynamic ARP Inspection برای جلوگیری از حملات

عملکرد DAI یا Dynamic ARP Inspection شبیه DHCP Snooping می باشد.

یعنی از پورت های Trusted و Untrusted استفاده می کند.

به این صورت که پاسخ ARP ها که به پورت های سوئیچ وارد می شود

را با منابع خود (سوئیچ) مقایسه می کند و در صورت عدم تطابق آن را Drop می کند.

منابعی که سوئیچ برای صحت تطابق IP address , MAC address  , پورتهای سوئیچ از آن استفاده می کند :

1)استفاده از اطلاعات به دست آمده از DHCP Snooping

در صورت وجود DHCP Server باید DHCP Snooping فعال شود

و پورتی که به DHCP Server متصل است را Trust معرفی کنید

و در صورتی که DHCP بر روی سوئیچ پیکر بندی شده باشد نیاز به این کار نیست.

2)IP address ,MAC address هایی که به صورت دستی وارد شده اند.