Diferencias entre ARP estático, IPSG y DAI Destacado

77 0 2 0

El ARP estático puede implementar el enlace de direcciones IP y direcciones MAC para evitar que las entradas ARP sean actualizadas por los paquetes pseudo ARP enviados por los atacantes.

 

Sin embargo, incluso si se configura ARP estático, los usuarios que cambian las direcciones IP sin permiso aún pueden acceder a redes externas. Para solucionar este problema, debe configurar la protección de origen de IP (IPSG (IP source guard)).

 

La inspección dinámica de ARP (DAI) también puede implementar el enlace de direcciones IP y direcciones MAC.

 

Puede implementar estas funciones de acuerdo con los requisitos del servicio. Los escenarios de aplicación para ARP estático, IPSG y DAI son diferentes. Los detalles se explican a continuación.

 

ARP estático

 

Las entradas ARP estáticas se aplican a los siguientes escenarios:

 

Redes con dispositivos importantes como servidores: los atacantes de red no pueden actualizar las entradas ARP que contienen direcciones IP de dispositivos importantes en el Router utilizando paquetes de ataque ARP, lo que garantiza la comunicación entre los usuarios y los dispositivos importantes.

 

Redes en las que las direcciones MAC de los dispositivos de usuario son direcciones MAC de multicast: de manera predeterminada, un dispositivo no aprende las entradas ARP cuando recibe los paquetes ARP cuyas direcciones MAC de origen son direcciones MAC de multicast.

 

Escenario en el que un administrador de red desea evitar que una determinada dirección IP acceda a los dispositivos: el administrador de la red vincula la dirección IP a una dirección MAC no disponible.

 

En temas de implementación, las entradas ARP estáticas no envejecerán y las entradas ARP dinámicas no pueden anularlas. Se puede ejecutar el comando arp static para configurar manualmente una entrada ARP estática, o usar el escaneo automático y las entradas ARP fijas para configurar por lotes las entradas ARP estáticas.

 

IPSG

 

IPSG se utiliza para evitar que usuarios no autorizados falsifiquen direcciones IP. Por ejemplo, después de configurar IPSG, los usuarios que cambian direcciones IP sin permiso en una red no pueden acceder a redes externas.

 

En escenarios de falsificación de direcciones IP, los atacantes usan la dirección MAC de su propietario pero desfalcan las direcciones IP de otros para comunicarse para obtener los derechos del usuario atacado o los paquetes que deben enviarse al usuario atacado.

 

En temas de implementación, IPSG se utiliza para verificar los paquetes de IP contra las tablas de enlace (tablas de enlace DHCP dinámicas y estáticas).

 

Al reenviar un paquete IP, el dispositivo compara la dirección IP de origen, la dirección MAC de origen, la interfaz y la VLAN en el paquete IP con la información en la tabla de enlace. Se puede configurar los parámetros a comparar, por ejemplo, la dirección IP de origen y la VLAN.

 

·         Si los parámetros coinciden con la información de la tabla, el usuario está autorizado y el dispositivo reenvía el paquete IP.

·         Si los parámetros no coinciden con la información de la tabla, el dispositivo considera que es un paquete de ataque y descarta el paquete.

 

Al configurar IPSG, puede ejecutar el comando user-bind static para configurar una tabla de enlace estático.

 

DAI

 

DAI se usa para prevenir los ataques de Man in The Middle (MiTM). Si DAI no está configurado, las entradas ARP de usuarios autorizados en el dispositivo pueden actualizarse mediante los paquetes pseudo ARP enviados por los atacantes.

 

DAI se utiliza para verificar los paquetes ARP de acuerdo con las tablas de enlace (tablas de enlace DHCP dinámicas y estáticas).

 

Al recibir un paquete ARP, el dispositivo compara la dirección IP de origen, la dirección MAC de origen, la interfaz y la VLAN en el paquete ARP con la información en la tabla de enlace. Puede configurar los parámetros a comparar, por ejemplo, la dirección IP de origen y la VLAN.

·         Si los parámetros coinciden con la información de la tabla, el usuario está autorizado y el dispositivo permite que pase el paquete ARP.

·         Si los parámetros no coinciden con la información de la tabla, el dispositivo considera que es un paquete de ataque y descarta el paquete.

 

Al configurar DAI, puede ejecutar el comando user-bind static para configurar una tabla de enlace estático.

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje