j'ai compris

L'ARP statique peut-il implémenter la liaison d'adresses IP et d'adresses MAC?

publié il y a  2020-8-23 23:25:14 85 0 0 0 0

L'ARP statique peut-il implémenter la liaison d'adresses IP et d'adresses MAC?


L'ARP statique peut implémenter la liaison d'adresses IP et d'adresses MAC pour empêcher la mise à jour des entrées ARP par les pseudo paquets ARP envoyés par les attaquants. Cependant, même si l'ARP statique est configuré, les utilisateurs qui changent d'adresses IP sans autorisation peuvent toujours accéder aux réseaux externes. Pour résoudre ce problème, vous devez configurer la protection de source IP (IPSG).

L'inspection dynamique ARP (DAI) peut également implémenter la liaison d'adresses IP et d'adresses MAC. Les scénarios d'application pour ARP statique, IPSG et DAI sont différents. Pour plus de détails, voir le tableau 1 . Vous pouvez déployer ces fonctions selon les exigences du service.

Tableau 1 Différences entre ARP statique, IPSG et DAI

Fonction

Scénario

la mise en oeuvre

ARP statique

Les entrées ARP statiques s'appliquent aux scénarios suivants:
  • Réseaux avec des périphériques importants tels que des serveurs: les attaquants du réseau ne peuvent pas mettre à jour les entrées ARP contenant les adresses IP des périphériques importants sur le routeur à l' aide de paquets d'attaque ARP, assurant la communication entre les utilisateurs et les périphériques importants.

  • Réseaux sur lesquels les adresses MAC des appareils utilisateur sont des adresses MAC multicast: par défaut, un appareil n'apprend pas les entrées ARP lors de la réception des paquets ARP dont les adresses MAC sources sont des adresses MAC multicast.

  • Scénario dans lequel un administrateur réseau souhaite empêcher une certaine adresse IP d'accéder aux périphériques: L'administrateur réseau lie l'adresse IP à une adresse MAC non disponible.

Les entrées ARP statiques ne vieilliront pas et ne peuvent pas être remplacées par des entrées ARP dynamiques. Vous pouvez exécuter la commande arp static pour configurer manuellement une entrée ARP statique, ou utiliser l'analyse automatique et les entrées ARP fixes pour configurer par lots des entrées ARP statiques.

IPSG

IPSG est utilisé pour empêcher les utilisateurs non autorisés de falsifier des adresses IP. Par exemple, une fois IPSG configuré, les utilisateurs qui modifient les adresses IP sans autorisation sur un réseau ne sont pas autorisés à accéder aux réseaux externes.

Dans les scénarios de falsification d'adresses IP, les attaquants utilisent l'adresse MAC de leur propriétaire mais détournent les adresses IP des autres pour la communication afin d'obtenir les droits de l'utilisateur attaqué ou les paquets qui devraient être envoyés à l'utilisateur attaqué.

IPSG est utilisé pour vérifier les paquets IP par rapport aux tables de liaison (tables de liaison DHCP dynamiques et statiques).

Lors de la transmission d'un paquet IP, le périphérique compare l'adresse IP source, l'adresse MAC source, l'interface et le VLAN dans le paquet IP avec les informations de la table de liaison. Vous pouvez configurer les paramètres à comparer, par exemple l'adresse IP source et le VLAN.
  • Si les paramètres correspondent aux informations du tableau, l'utilisateur est autorisé et le périphérique transmet le paquet IP.

  • Si les paramètres ne correspondent pas aux informations de la table, le périphérique considère qu'il s'agit d'un paquet d'attaque et rejette le paquet.

Lors de la configuration d'IPSG, vous pouvez exécuter la commande statique de liaison utilisateur pour configurer une table de liaison statique.

DAI

DAI est utilisé pour empêcher les attaques de Man in The Middle (MiTM). Si DAI n'est pas configuré, les entrées ARP des utilisateurs autorisés sur le périphérique peuvent être mises à jour par les pseudo paquets ARP envoyés par les attaquants.

DAI est utilisé pour vérifier les paquets ARP en fonction des tables de liaison (tables de liaison DHCP dynamiques et statiques).

Lors de la réception d'un paquet ARP, le périphérique compare l'adresse IP source, l'adresse MAC source, l'interface et le VLAN dans le paquet ARP avec les informations de la table de liaison. Vous pouvez configurer les paramètres à comparer, par exemple l'adresse IP source et le VLAN.
  • Si les paramètres correspondent aux informations de la table, l'utilisateur est autorisé et le périphérique autorise le passage du paquet ARP.

  • Si les paramètres ne correspondent pas aux informations de la table, le périphérique considère qu'il s'agit d'un paquet d'attaque et rejette le paquet.

Lors de la configuration de DAI, vous pouvez exécuter la commande statique de liaison utilisateur pour configurer une table de liaison statique.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.