Tutto quello che devi sapere sul Dynamic ARP Inspection
Dynamic ARP Inspection (DAI): definizione, utilità ed esempi pratici
Il Dynamic ARP Inspection (DAI) è una caratteristica di sicurezza essenziale per la protezione della rete. Il DAI autentica i pacchetti ARP (Address Resolution Protocol) in una rete, contribuendo a prevenire attacchi hacker di tipo "man-in-the-middle". Questo articolo mira a spiegare in dettaglio cos'è DAI, come funziona e come può essere configurato per migliorare la sicurezza della rete.
Comprendere l'ARP
L’Address Resolution Protocol (ARP) è un protocollo di rete utilizzato per determinare l’indirizzo MAC (Media Access Control) associato a un indirizzo IP (Internet Protocol) per poter inviare pacchetti di dati su una rete LAN (Local Area Network). Questo processo è essenziale per la comunicazione tra i dispositivi su una rete.
Quando un Host vuole comunicare con un altro Host sulla rete, ha bisogno di conoscerne l'indirizzo MAC. Genera quindi una richiesta ARP indirizzata a tutti i dispositivi sulla rete. L’Host con l'indirizzo IP specificato risponde con il proprio MAC. Queste informazioni vengono quindi memorizzate nella cache ARP del dispositivo richiedente per un uso futuro.
Attacchi Cache Poisoning
L’ARP Cache Poisoning è un attacco di tipo spoofing con cui un malintenzionato invia messaggi ARP falsificati sulla rete locale al fine di intercettare traffico destinato ad altri Host. Questo obiettivo viene raggiunto “avvelenando” la cache ARP degli altri device, facendo credere che l'indirizzo IP dell'attaccante sia associato all'indirizzo MAC dell'host target, in modo che questi ridirezionino il loro traffico sull’Host attaccante.
Dynamic ARP Inspection (DAI)
Il Dynamic ARP Inspection (DAI) è una funzionalità di cybersecurity che protegge la rete da attacchi ARP spoofing. Il DAI esegue questo compito associando a ogni porta di rete uno status di fiducia: quelle impostate come “trusted” sono escluse da ulteriori validazioni del DAI e il traffico ARP è permesso senza vincoli.
Invece, il traffico da e verso porte marcate come “untrusted” viene invece intercettato dal DAI, che ispeziona i pacchetti ARP in transito. Ogni pacchetto ARP viene confrontato con le associazioni indirizzo IP-indirizzo MAC memorizzate nel database DHCP Snooping. Se le informazioni nel pacchetto ARP non corrispondono a un'associazione valida nel database, il pacchetto viene scartato.
In una tipica configurazione di rete per DAI, tutte le porte collegate alle porte host di dispositivi finali sono configurate come non fidate, mentre tutte le porte collegate agli switch di rete sono configurate come fidate. Con questa configurazione, tutti i pacchetti ARP che entrano nella rete da un determinato switch avranno superato il controllo di sicurezza.
Tutti gli eventi potenzialmente malevoli bloccati dal DAI possono essere rivisti da uno specifico log, che segnala l’indirizzo IP, l’orario del tentativo di connessione e la somma totale del numero di eventi: dal log è anche possibile “correggere” eventuali blocchi del DAI, permettendo manualmente la connessione tra due Host.
Limitazione del Tasso dei Pacchetti ARP
DAI esegue controlli di validazione nella CPU, quindi il numero di pacchetti ARP in entrata è limitato per prevenire il sovraccarico della CPU e attacchi di tipo Denial of Service (DoS), con i quali si potrebbe tentare di inondare la rete con pacchetti ARP. Di default, il tasso per le interfacce non fidate è impostato a 15 pacchetti al secondo, mentre le interfacce fidate non hanno limiti di tasso.