Gateway Anti-ARP Spoofing

🚫 פתרון למניעת זיוף ARP של ראוטר

I. סקירה כללית

משתמש עלול לחבר נתב אלחוטי קטן לרשת ללא אישור, וכתובת ה-IP שלו זהה לכתובת ה-IP של השער, או שמשתמשים זדוניים מתחזים לשער. כתוצאה מכך, משתמשים אינם יכולים לגשת לאינטרנט.

מניעת זיוף ARP של שער יכולה לחסום חבילות ARP מממשקים לא מהימנים ולהבטיח שהשער האמיתי לא יזויף, ומשתמשים יוכלו לגשת לאינטרנט כרגיל.

II. טופולוגיה טיפוסית

טופולוגיה טיפוסית של מניעת זיוף ARP של שער:

III. עקרון

1. ARP

פרוטוקול ARP (Address Resolution Protocol) יכול לפתור כתובות MAC על בסיס כתובות IP. ניתן להשתמש בכתובות MAC להעברת נתונים ברשת מקומית (LAN). כאשר נדרשת כתובת MAC, מארח A משדר בקשת ARP לכל המארחים ברשת. בקשת ה-ARP מכילה מידע IP. מארח B בעל כתובת ה-IP הזהה לזו שבבקשה משיב למארח A עם כתובת ה-MAC שלו. לאחר קבלת כתובת ה-MAC של מארח B, מארח A רושם אותה בטבלת ה-ARP שלו. לאחר מכן, מארח A יעביר נתונים למארח B בהתאם לטבלת ה-ARP.

2. זיוף ARP של שער (Gateway ARP Spoofing)

אם יש יותר מכתובת IP אחת ברשת, קיימת סבירות שמתקבלת כתובת MAC שגויה, וכתוצאה מכך שגיאות העברת הודעות וסיכונים אבטחתיים גדולים.

זיוף ARP של שער הוא התחזות לכתובת ה-IP של השער, הגורמת לניתוק שירותי רשת רגילים וליירוט זדוני של תקשורת המשתמש.

3. מניעת זיוף ARP (Anti-ARP Spoofing)

ממשקי המתג חוסמים חבילות ARP המכילות את כתובת ה-IP של השער מממשקים לא מהימנים, ורק חבילות ה-ARP מממשקים מהימנים מועברות כדי למנוע ממשתמשים לקבל את כתובת ה-MAC השגויה של השער.

אפשר את מניעת זיוף ARP של שער ביציאות (Gi 0/3 ו-Gi 0/4 בדוגמה זו) של מתג הגישה (מתג A) המחוברות ישירות למחשבים אישיים. כתובת השער היא כתובת השער של הרשת הפנימית וכתובת השרת של הרשת הפנימית.

IV. דגמי מוצרים הנתמכים בפיצ'ר וטופולוגיה

מתגי סדרת NBS תומכים בפיצ'ר זה, וגרסת התוכנה אינה מוגבלת. מומלץ לשדרג את ההתקן לגרסה העדכנית ביותר.

V. תצורה

1. ניווט והפעלה: בחר Configuration (תצורה) > Network-Wide (בכל הרשת) > ARP Spoofing Guard > Enable (אפשר).

   

2. בחירת VLAN להגנה: גרור רשתות VLAN שיש להגן עליהן לאזור Protected Area (אזור מוגן) ולחץ על Save (שמור). כברירת מחדל, פונקציית ARP Guard מופעלת בכל מתגי הגישה ברשת זו.