Проблемы ARP.
Протокол ARP является абсолютно незащищённым.
Он не обладает никакими способами проверки подлинности пакетов: как
запросов, так и ответов. Ситуация становится ещё более сложной, когда может
использоваться самопроизвольный ARP (gratuitous ARP).
Самопроизвольный ARP — такое поведение ARP, когда ARP-ответ
присылается, когда в этом (с точки зрения получателя) нет особой
необходимости.
Самопроизвольный ARP-ответ это пакет-ответ ARP,
присланный без запроса.
Он применяется для определения конфликтов IP-
адресов в сети: как только станция получает адрес по DHCP или адрес
присваивается вручную, рассылается ARP-ответ gratuitous ARP.
Самопроизвольный ARP может быть полезен в следующих случаях:
•
Обновление ARP-таблиц, в частности, в кластерных системах;
•
Информирование коммутаторов;
•
Извещение о включении сетевого интерфейса.
Несмотря на эффективность самопроизвольного ARP, он является
особенно небезопасным, поскольку с его помощью можно уверить удалённый
узел в том, что MAC-адрес какой-либо системы, находящейся с ней в одной
сети, изменился и указать, какой адрес используется теперь.
ARP-spoofing.
Атаки с подменой ARP происходят потому, что ARP
разрешает ответ от хоста, даже если запрос ARP не был получен. После атаки
весь трафик с атакованного устройства проходит через компьютер
злоумышленника, а затем на маршрутизатор, коммутатор или хост.
Атака с подменой ARP может повлиять на узлы, коммутаторы и
маршрутизаторы, подключенные к вашей сети, путем отправки ложной
информации в кеши ARP устройств, подключенных к подсети. Отправка
ложной информации в кэш ARP называется отравлением кеша ARP. Атаки
подделки также могут перехватывать трафик, предназначенный для других
хостов в подсети.
Хосты A, B и C подключены к устройству через интерфейсы A, B и C,
которые находятся в одной подсети. Их IP- и MAC-адреса указаны в
скобках; например, хост A использует IP-адрес IA и MAC-адрес MA
(Рис.12.3). Когда хосту A необходимо отправить IP-данные хосту B, он
передает широковещательный запрос ARP для MAC-адреса, связанного с IP-
адресом IB. Когда устройство и хост B получают запрос ARP, они заполняют
свои кэши ARP привязкой ARP для хоста с IP-адресом IA и MAC-адресом
MA;
например, IP-адрес IA привязан к MAC-адресу MA. Когда хост B
отвечает, устройство и хост A заполняют свои кэши ARP привязкой для хоста
с IP-адресом IB и MAC-адресом MB.
Рис. 12.3. Подмена ARP
Хост C может отравить кеши ARP устройства, хоста A и хоста B путем
широковещательной рассылки двух поддельных ответов ARP с привязками:
один для хоста с IP-адресом IA и MAC-адресом MC, а другой для хоста с IP.
адрес IB и MAC-адрес MC. Затем хост B и устройство используют MAC-адрес
MC в качестве MAC-адреса назначения для трафика, предназначенного для IA,
что означает, что хост C перехватывает этот трафик. Точно так же хост A и
устройство используют MAC-адрес MC в качестве MAC-адреса назначения
для трафика, предназначенного для IB.
Поскольку хосту C известны истинные MAC-адреса, связанные с IA и
IB, он может пересылать перехваченный трафик на эти хосты, используя
правильный MAC-адрес в качестве пункта назначения. Эта топология, в
которой хост C вставил себя в поток трафика от хоста A к хосту B, является
примером атаки типа «злоумышленник в середине».
Чтобы предотвратить спуфинг, вы можете включить антиспуфинг
ARP.
Если
включен
ARP-антиспуфинг,
все
ARP-пакеты
будут
перенаправлены на ЦП для проверки. Пакеты ARP будут проверяться с
помощью записей в статической таблице ARP, таблице статической привязки
IP source Guard или таблице отслеживания DHCP. Все пакеты ARP,
соответствующие записям в любой из таблиц, будут переданы. Все неполные
пакеты ARP или пакеты, частично совпадающие с любой из записей таблицы,
будут отброшены. Неизвестные пакеты ARP или пакеты, не совпадающие ни
с одним из элементов таблицы, можно настроить так, чтобы они либо
отбрасывались, либо рассылались по всем портам. Атака ARP-спуфинга по
умолчанию отключена.
Вы можете настроить функцию защиты хоста, чтобы связать IP-адрес
или MAC-адрес и подключенный порт хоста вместе. Пакеты ARP,
передаваемые с этого порта, принимаются всеми другими подключенными
портами. Пакеты ARP с тем же IP-адресом или MAC-адресом отбрасываются,
если передаются с любого другого порта.
Вы можете настроить функцию проверки согласованности MAC-
адресов источника, чтобы проверить, совпадает ли исходный MAC-адрес
Ethernet в пакете ARP с исходным MAC-адресом, хранящимся в таблице. Если
MAC-
адреса источника не совпадают, пакет отбрасывается. По умолчанию эта
функция отключена.
Устройство уровня 3 может быть настроено как шлюз для определенных
устройств LAN. Злоумышленник может попытаться добавить устройство
уровня 3 в список заблокированных, отправив бесплатный ARP,
идентифицируя себя как правильный шлюз. Вы можете настроить функцию
антиспуфинга шлюза для предотвращения такого рода атак. По умолчанию эта
функция отключена.
По умолчанию после атаки все порты считаются ненадежными. Вы
можете настроить порт, который не требует мониторинга и заслуживает
доверия как доверенный порт.
Атака с подменой ARP может повлиять на хосты, коммутаторы и
маршрутизаторы, подключенные к вашей сети, путем лавинной рассылки
пакетов в ЦП устройств, подключенных к подсети, и тем самым повлиять на
производительность устройства. Переполнение ЦП на устройстве известно
как атака ARP-переполнением.
Для предотвращения атаки ARP-флуда доступны следующие
конфигурации.
•
Вы должны включить атаку ARP anti-flood, чтобы предотвратить
атаку ARP flood. Пакет ARP пересылается в ЦП. Каждый поток трафика
идентифицируется на основе MAC-адреса источника пакета.
•
Вы можете настроить порог скорости для отслеживания потока
ARP.
Если порог скорости превышен, это считается атакой. Вы настраиваете
порог скорости глобально или для интерфейса.
•
При возникновении атаки вы можете настроить, следует ли
добавлять исходный MAC-адрес хоста в список адресов черной дыры и
отбрасывать все пакеты или отбрасывать только пакеты ARP с хоста.
•
Чтобы удалить хосты из списка адресов «черной дыры», вы
можете либо определить интервал времени восстановления, либо вручную
восстановить хост.
•
Вы можете привязать динамический MAC-адрес к статическому
MAC-
адресу хоста в списке адресов «черной дыры». Это предотвращает
передачу хостом пакетов любого типа.
Do'stlaringiz bilan baham: |