Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Know How

Dynamic ARP Inspection (DAI) :: Cisco Switch sicher einrichten

Mit dem Address Resolution Protocol (ARP) können IP-Hosts die MAC-Adresse zu einer IP-Adresse ermitteln. Diese Zuordnung wird im ARP-Cache gespeichert. Ein Angreifer kann versuchen, diese Zuordnugn durch gefälschte ARP-Frames zu manipulieren. Damit kann er entweder eine Man-in-the-Middle-Attacke durchführen oder die Kommunikation im Netzwerk stören. Diese Art von Angriff wird als ARP-Spoofing oder ARP-Poisoning bezeichnet.

Cisco ermöglicht es dem Admin mit Dynamic ARP Inspection (DAI) solche Angriffe abzuwehren.

Dynamic ARP Inspection einrichten

ARP Inspection muss global aktiviert werden. Danach können einzelne Interface als trusted oder untrusted eingerichtet werden. 

ip arp inspection vlan 1
!
interface FastEthernet0/1
 description Edge Port
 no ip arp inspection trust
 ip arp inspection limit rate 10
!
interface GigabitEthernet0/1
 description Uplink 
 ip arp inspection trust

Im folgenden Beispiel wurde das (recht kleine) Rate Limit an fa0/1 überschritten. 

04:03:43: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
04:03:46: %SW_DAI-4-PACKET_RATE_EXCEEDED: 2 packets received in 469 milliseconds on Fa0/1.
04:03:46: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa0/1, putting Fa0/1 in err-disable state
04:03:48: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down

Eine versuchte MITM-Attacke sieht so aus: 

04:18:16: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, 
          vlan 1.([0010.a48b.42a7/192.168.1.120/00d0.58b1.9600/192.168.1.104/04:18:16 UTC Mon Mar 1 1993])
04:18:16: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, 
          vlan 1.([0010.a48b.42a7/192.168.1.104/0010.6c00.1159/192.168.1.120/04:18:16 UTC Mon Mar 1 1993])

network lab Empfehlung

Nutzen Sie Dynamic ARP Inspection (DAI) um das Netzwerk vor ARP Spoofing zu schützen.

 

Inhalt

  1. Grundlagen
  2. Spanning Tree / BPDU-Guard
  3. Cisco Discovery Protocol (CDP)
  4. Trunking DTP / ISL / dot1q
  5. DHCP Snooping
  6. Dynamic ARP Inspection (DAI)
  7. Storm Control
  8. Port Security
  9. Beispielkonfigurationen

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012