Alles, was Sie über Dynamic ARP Inspection wissen müssen
Dynamic ARP Inspection (DAI): Definition, Nutzen und praktische Beispiele
Das Dynamic ARP Inspection (DAI) ist eine wesentliche Sicherheitsfunktion zum Schutz des Netzwerks. DAI authentifiziert autentica i pacchetti ARP (Address Resolution Protocol) in einem Netzwerk und hilft, "Man-in-the-Middle"-Hackerangriffe zu verhindern. Dieser Artikel soll detailliert erklären, was DAI ist, wie es funktioniert und wie es konfiguriert werden kann, um die Netzwerksicherheit zu erhöhen.
Verständnis von ARP
Das Address Resolution Protocol (ARP) ist ein Netzwerkprotokoll, das verwendet wird, um die MAC-Adresse (Media Access Control) zu ermitteln, die mit einer IP-Adresse (Internet Protocol) verbunden ist, um Datenpakete in einem LAN (Local Area Network) zu senden. Dieser Prozess ist für die Kommunikation zwischen den Geräten in einem Netzwerk unerlässlich.
Wenn ein Host mit einem anderen Host im Netzwerk kommunizieren möchte, muss er dessen MAC-Adresse kennen. Er generiert daher eine ARP-Anfrage, die an alle Geräte im Netzwerk gerichtet ist. Der Host mit der angegebenen IP-Adresse antwortet mit seiner MAC-Adresse. Diese Informationen werden dann im ARP-Cache des anfordernden Geräts für eine spätere Verwendung gespeichert.
Cache-Poisoning-Angriffe
ARP-Cache-Poisoning ist ein Spoofing-Angriff, bei dem ein Angreifer gefälschte ARP-Nachrichten im lokalen Netzwerk sendet, um den Verkehr, der für andere Hosts bestimmt ist, abzufangen. Dies wird erreicht, indem der ARP-Cache anderer Geräte "vergiftet" wird, sodass sie glauben, dass die IP-Adresse des Angreifers der MAC-Adresse des Zielhosts zugeordnet ist, wodurch sie ihren Verkehr an den angreifenden Host umleiten.
Dynamic ARP Inspection (DAI)
Das Dynamic ARP Inspection (DAI) ist eine Cybersecurity-Funktion, die das Netzwerk vor ARP-Spoofing-Angriffen schützt. DAI führt diese Aufgabe aus, indem es jedem Netzwerkport einen Vertrauensstatus zuweist: Ports, die als "trusted" eingestuft sind, werden von weiteren DAI-Validierungen ausgenommen und der ARP-Verkehr ist ohne Einschränkungen erlaubt.
Verkehr von und zu als "untrusted" markierten Ports wird jedoch von DAI abgefangen, das die ARP-Pakete inspiziert, die durchlaufen. Jedes ARP-Paket wird mit den IP-Adress-MAC-Adress-Verknüpfungen verglichen, die in der DHCP-Snooping-Datenbank gespeichert sind. Wenn die Informationen im ARP-Paket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmen, wird das Paket verworfen.
In einer typischen DAI-Netzwerkkonfiguration sind alle Ports, die an Endgeräte-Host-Ports angeschlossen sind, als nicht vertrauenswürdig konfiguriert, während alle Ports, die an Netzwerk-Switches angeschlossen sind, als vertrauenswürdig eingestuft werden. Mit dieser Konfiguration haben alle ARP-Pakete, die von einem bestimmten Switch ins Netzwerk gelangen, die Sicherheitsprüfung bestanden.
Alle potenziell schädlichen Ereignisse, die von DAI blockiert werden, können in einem spezifischen Log überprüft werden, das die IP-Adresse, die Zeit des Verbindungsversuchs und die Gesamtzahl der Ereignisse anzeigt. Aus dem Protokoll ist es auch möglich, DAI-Blocks "zu korrigieren", indem manuell eine Verbindung zwischen zwei Hosts zugelassen wird.
Begrenzung der ARP-Paketrate
DAI führt Validierungsprüfungen in der CPU durch, daher ist die Anzahl der eingehenden ARP-Pakete begrenzt, um eine Überlastung der CPU und Denial-of-Service-(DoS)-Angriffe zu verhindern, bei denen versucht wird, das Netzwerk mit ARP-Paketen zu überfluten. Standardmäßig ist die Rate für nicht vertrauenswürdige Schnittstellen auf 15 Pakete pro Sekunde eingestellt, während vertrauenswürdige Schnittstellen keine Ratenbeschränkungen haben.