j'ai compris

Opérations ARP courantes: configuration de la détection ARP dynamique

publié il y a  2020-4-28 14:12:01 57 0 0 0 0

L'inspection ARP dynamique (DAI) est utilisée pour empêcher les attaques Man in The Middle (MITM). Si DAI n'est pas configuré, les entrées ARP des utilisateurs autorisés sur le périphérique peuvent être mises à jour par les pseudo paquets ARP envoyés par les attaquants.

DAI est utilisé pour vérifier les paquets ARP en fonction des tables de liaison (tables de liaison DHCP dynamiques et statiques).

Lors de la réception d'un paquet ARP, le périphérique compare l'adresse IP source, l'adresse MAC source, l'interface et le VLAN dans le paquet ARP avec les informations de la table de liaison. Vous pouvez configurer les paramètres à comparer, par exemple, l'adresse IP source et le VLAN.
  • Si les paramètres correspondent aux informations de la table, l'utilisateur est autorisé et le périphérique autorise le passage du paquet ARP.

  • Si les paramètres ne correspondent pas aux informations de la table, le périphérique considère qu'il s'agit d'un paquet d'attaque et rejette le paquet.

# Configurer l'espionnage DHCP sur l'appareil et activer DAI sur l'interface connectant l'appareil au côté utilisateur.

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable ipv4
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable //Enable DHCP snooping on the interface connecting the device to the user side.
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] dhcp snooping trusted //Configure the interface connecting the device to the DHCP server as a trusted interface. If DHCP snooping is deployed on the DHCP relay device, the trusted interface configuration is optional.
[HUAWEI-GigabitEthernet1/0/2] quit
[HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 //Configure the static binding table on the device for the users configured with static IP addresses.
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable //Enable DAI on the interface connecting the device to the user side.
[HUAWEI-GigabitEthernet1/0/1] quit

# Configurez la surveillance DHCP sur le périphérique et activez DAI dans le VLAN côté utilisateur.

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable ipv4
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable //Enable DHCP snooping in the VLAN that the user device belongs to.
[HUAWEI-vlan100] quit
[HUAWEI] vlan 200
[HUAWEI-vlan200] dhcp snooping enable
[HUAWEI-vlan200] dhcp snooping trusted interface gigabitethernet 1/0/2 //Configure the interface connecting the device to the DHCP server as a trusted interface. If DHCP snooping is deployed on the DHCP relay device, the trusted interface configuration is optional.
[HUAWEI-vlan200] quit
[HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 //Configure the static binding table on the device for the users configured with static IP addresses.
[HUAWEI] vlan 100
[HUAWEI-vlan100] arp anti-attack check user-bind enable //Enable DAI in the user-side VLAN.
[HUAWEI-vlan100] quit

 
 Pour plus d'informations:


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.