تا %60 تخفیف خرید برای 7 نفر با صدور مدرک فقط تا
00 00 00

دوره آموزشی CCNP Security SENSS قسمت 4: DAI

امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد
0 پسند
19 بازدید
0 نظر
1 ماه قبل

ویژگی در شبکه های کامپیوتری تحت عنوان DAI مخفف Dynamic Arp Inspection وجود دارد که وظیفه بازرسی بسته ها و جلوگیری از حملات مختلف از جمله Arp Spoofing, Arp Cache Poisoning و CAM Table OverFlow که موجب پیاده سازی حملات Man in the middle در شبکه های Broadcast-Domain می شوند. این مکانیزم وظیفه بازرسی بسته های Arp را دارید و درصورت نامعتبر بودن یک بسته IP-To-Mac آن بسته دور ریخته می شود. همانطور که گفتیم DAI وظیفه محافظت و Protested سازی شبکه از حملات مختلف Man in the middle را از طریق جدولی که توسط DHCP Snooping ایجاد میشود را دارد همچنین ویژگی DAI اطمینان می دهد که فقد پیغام های معتبر Arp اجازه عبور در شبکه را داشته باشند.

دوره آموزشی CCNP Security SENSS قسمت 4: DAI

وظایف DAI

  • رهگیری تمامی درخواست های غیرمعتبر از Port های غیرقابل اعتماد
  • تأیید می کند که هرکدام از این بسته های رهگیری شده دارای یک آدرس معتبر IP-To-MAC قبل از بروزرسانی Memory Arp Cache و یا قبل از ارسال بسته به مقصد مناسب هستند
  • دور ریختن تمامی بسته های که به عنوان نامعتبر شناخته می شوند
  • این ویژگی برپایه معتبر بودن IP-To-Mac می باشد.

پیاده سازی DAI

در هنگام پیاده سازی آن به دلیل استفاده از Database ویژگی DHCP Snooping می بایست قبل از فعال سازی DAI حتما DHCP Snooping فعال شود به دلیل فعال شدن DHCP Snooping بر روی Vlan ها برای فعال سازی DAI بر روی یک Vlan خاص از دستور زیر استفاده کنید

switch#enable
switch#configure terminal
switch(config)ip arp inspection vlan [vlan-range]

نکته: به منظور استفاده از DAI در محیط های که DHCP در آن وجود ندارد می بایست از مباحثی همچون Arp ACL استفاده کنید که در همین آموزش توضیح می‌دهیم

  • Arp Inspection Rate Limiting: سوییچ به منظور انجام فرایند Arp Inspection و بازرسی بسته های Arp برای هر Port که به صورت Untrusted و یا غیرقابل اعتماد هستند محدودیت ارسال بسته قرار می دهد که این محدودیت به صورت پیش فرض 15 بسته می باشد.‌ اینکار به منظور جلوگیری از حملات تکذیب سرویسو یا همان DoS( Denial Of Service) استفاده می شود این مقدار با دستور زیر در حالت Interface configuration قابل تقییر می باشد.
switch#enable
switch#configure terminal
switch(config-if):ip arp inspection limit

نکته: در Port های Trusted و یا قابل اعتماد دارای محدودیت ارسال بسته نیستند

زمانی که یک Port از حد Arp Rate Limiting تعیین شده فراتر برود، سوییچ آن Port را درحالت error-disabled قرار می دهد تا زمانی که شما از دستور زیر استفاده کنید

switch#enable
switch#configure terminal
switch(config)errdisable recovery cause arp-inspection

چند نکته در رابطه با ویژگی های موجود در Arp Inspection و وضعیت پیش فرض آن‌‌ها:

  • تمامی Interface به صورت پیش فرض Untrusted هستند
  • ویژگی DAI به صورت پیش فرض بر روی تمامی Vlan ها غیرفعال می باشد
  • مقدار Rate Limiting برای رابط های Untrusted مقدار 15 ثانیه و برای رابط های Trusted مقدار نامحدود و محدود در ارسال پشت سرهم بسته ها که این محدودیت یک ثانیه می باشد
  • در محیط های nom-DHCP به صورت پیش فرض هیچ Arp ACL برای DAI تعریف نشده است
  • ویژگی Validation check، هیچ Check کردنی را انجام نمی دهد
  • همچنین شما توانایی اعمال DAI بروی Port های مختلف با وضعیت های مختلف از جمله Access ,Trunk ,EtherChannel و Private Vlan

نکته: نمی توانید DAI بر روی RSPAN VLAN ها فعال کنید زیر به صورت پیش فرض DAI بر روی آن‌ها فعال می باشد

فعال سازی DAI در محیط های Non-DHCP

Switch(config)# arp access-list TangsiriNET
Switch(config-arp-acl)# permit ip host 192.168.10.1 mac host 0011.0011.0011
Switch(config-arp-acl)# exit
Switch(config)# ip arp inspection filter TangsiriNET vlan 10
Switch(config)# interface FastEthernet 0/0
Switch(config-if)# no ip arp inspection trust

فعال سازی DAI در محیط های دارای DHCP

Switch(config)# interface FastEthernet 0/0
Switch(config-if)# ip arp inspection trust
Switch(config)#ip arp inspection vlan 5-10

دستورات Verification

Switch#show ip arp inspection 
Switch#show ip arp inspection interfaces 

نویسنده: لمیرحسین تنگسیری نژاد

نظر شما
برای ارسال نظر باید وارد شوید.
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...