Mikrotik — Dynamic ARP Inspection

Dynamic ARP Inspection — технология (by Cisco), позволяющая пропускать ARP-запросы только для тех адресов, которые были выданы по DHCP. Данная технология помогает защититься от атак с использованием протокола ARP (например,  ARP-spoofing) и ограничивает пользователей в возможности указания IP адреса «вручную».

Суть технологии сводится к двум этапам:
1) Перехват всех ARP-запросов и ARP-ответов прежде чем перенаправлять их;
2) Проверка соответствия MAC-адреса и IP-адреса из статической ARP таблицы, либо таблицы выданных адресов DHCP.

Как оказалось, в маршрутизаторах от Mikrotik нашлась возможность реализовать данную технологию.

Для настройки необходимо:
1. В конфигурации «IP -> DHCP Server» поставить галочку «Add ARP For Leases». При выборе этой опции DHCP сервер будет автоматически добавлять записи в ARP-таблицу маршрутизатора;
2. В настройки интерфейса (бриджа) необходимо для ARP выставить reply-only. Эта опция переведет таблицу ARP на выбранном интерфейсе (бридже) в режим «только чтение» и не будет принимать ARP-запросы.

Таким образом, маршрутизатор будет коммутировать только те пакеты, для которых DHCP добавит ARP запись.

 

  1. dhcp провайдера выдает динамический адрес, при only-replay на wan-порте выдаваемый адрес не добавляется в arp, хз что делать,
    пока забиндил в arp статически несколько адресов на mac провайдера, пока работает но вариант как бэ… не совсем правильный.

    подскажите как правильно сделать (если не сделать такой заглушки то из локалки в инет никто ходить не может)

  2. Добрый день.
    Давно использую эту возможность оградить сеть от самозванных ip, все работает отлично, но нужно иметь в виду, что если при опции НЕ reply-only на интерфейсе сервер DHCP уже выдал какие-то ip адреса, то после включения опции reply-only хосты с этими ip окажутся не у дел, нужно будет удалить все эти арендованные ip из списка Leases и выдать их снова.
    У меня другая проблема — wifi репитер в связке с микротиком не дает клиенту возможность получить ip. Почему — не знаю, репитер такой наверное. Я на клиенте завожу ip вручную — клиент не видит сеть, что правильно, т.к. установлена опция reply-only. Но я добавляю запись для этого клиента в таблицу ARP на микротике вручную. После этого микротик должен маршрутизировать такого клиента, т.к. в таблице ARP он прописан, но увы, этого не происходит. Не подскажете, как можно решить эту проблему?

Оставить комментарий


Примечание - Вы можете использовать эти HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>