Mikrotik — Dynamic ARP Inspection

Dynamic ARP Inspection — технология (by Cisco), позволяющая пропускать ARP-запросы только для тех адресов, которые были выданы по DHCP. Данная технология помогает защититься от атак с использованием протокола ARP (например,  ARP-spoofing) и ограничивает пользователей в возможности указания IP адреса «вручную».

Суть технологии сводится к двум этапам:
1) Перехват всех ARP-запросов и ARP-ответов прежде чем перенаправлять их;
2) Проверка соответствия MAC-адреса и IP-адреса из статической ARP таблицы, либо таблицы выданных адресов DHCP.

Как оказалось, в маршрутизаторах от Mikrotik нашлась возможность реализовать данную технологию.

Для настройки необходимо:
1. В конфигурации «IP -> DHCP Server» поставить галочку «Add ARP For Leases». При выборе этой опции DHCP сервер будет автоматически добавлять записи в ARP-таблицу маршрутизатора;
2. В настройки интерфейса (бриджа) необходимо для ARP выставить reply-only. Эта опция переведет таблицу ARP на выбранном интерфейсе (бридже) в режим «только чтение» и не будет принимать ARP-запросы.

Таким образом, маршрутизатор будет коммутировать только те пакеты, для которых DHCP добавит ARP запись.

 

Оставить комментарий


Примечание - Вы можете использовать эти HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">