DAI(Dynamic ARP Inspection)の理解と使用
DAI(Dynamic ARP Inspection)は、ARP(アドレス解決プロトコル)パケット スプーフィング(ARP ポイズニングまたは ARP キャッシュ ポイズニングとも呼ばれます)からスイッチング デバイスを保護します。
DAI は LAN 上の ARP を検査し、スイッチの DHCP スヌーピング データベースの情報を使用して ARP パケットを検証し、ARP スプーフィングから保護します。ARP 要求と応答は、DHCP スヌーピング データベース内のエントリーと比較され、それらの比較の結果に基づいてフィルタリングが決定されます。攻撃者が偽装されたARPパケットを使用してアドレスをスプーフィングしようとすると、そのアドレスとデータベース内のエントリーが比較されます。ARP パケットの MAC(メディア アクセス コントロール)アドレスまたは IP アドレスが DHCP スヌーピング データベースの有効なエントリーと一致しない場合、パケットはドロップされます。
ARP スプーフィングとインスペクションについて
ARP パケットはルーティング エンジンに送信され、CPU 過負荷からスイッチング デバイスを保護するためにレート制限されます。
アドレス解決プロトコル
マルチアクセス ネットワークで IP パケットを送信するには、IP アドレスをイーサネット MAC アドレスにマッピングする必要があります。
イーサネット LAN は、ARP を使用して MAC アドレスを IP アドレスにマッピングします。
スイッチング デバイスは、パケットをネットワーク デバイスに転送する際に参照するキャッシュにこのマッピングを保持します。ARP キャッシュに宛先デバイスのエントリーが含まれていない場合、ホスト(DHCP クライアント)はそのデバイスのアドレスに対する ARP 要求をブロードキャストし、応答をキャッシュに格納します。
ARP スプーフィング
ARP スプーフィングは中間者攻撃を開始する方法の 1 つです。攻撃者は、LAN 上の別のデバイスの MAC アドレスをスプーフィングする ARP パケットを送信します。スイッチング デバイスは、トラフィックを適切なネットワーク デバイスに送信するのではなく、適切なデバイスになりすましアドレスを使用してトラフィックをデバイスに送信します。偽装デバイスが攻撃者のマシンである場合、攻撃者は別のデバイスに移動した必要があるスイッチからすべてのトラフィックを受信します。その結果、スイッチング デバイスからのトラフィックの方向が誤り、適切な宛先に到達できないことが示されます。
ARP スプーフィングの 1 つのタイプは、ネットワーク デバイスが ARP 要求を送信して独自の IP アドレスを解決する際に発生する、無償の ARP です。LAN の通常の動作では、感謝の ARP メッセージは、2 台のデバイスが同じ MAC アドレスを持っていることを示します。また、デバイス内のネットワーク インターフェイス カード(NIC)が変更され、デバイスが再起動されたときにもブロードキャストされるため、LAN 上の他のデバイスは ARP キャッシュを更新します。悪意のある状況では、攻撃者は ARP 応答をデバイスに送信することで、ネットワーク デバイスの ARP キャッシュをポイズニングし、特定の IP アドレス宛てのパケットすべてを別の MAC アドレスに送信します。
不正なARPやその他のタイプのスプーフィングによるMACスプーフィングを防ぐために、スイッチは DAI を介したARP応答を調べます。
ダイナミック ARP インスペクション
DAIはLAN上のARPリクエストとレスポンスを検証し、ARPパケットを検証します。スイッチはアクセス ポートから ARP パケットを傍受し、DHCP スヌーピング データベースに対して検証します。データベース内の IP-MAC エントリーが ARP パケット内の情報に対応しない場合、DAI は ARP パケットをドロップし、ローカル ARP キャッシュはそのパケット内の情報で更新されません。DAI は、パケット内の IP アドレスが無効な場合にも ARP パケットを破棄します。ARP プローブ パケットは、動的 ARP インスペクションの対象にはなりません。スイッチは常にそのようなパケットを転送します。
EX シリーズ スイッチ用 Junos OS と QFX シリーズは、デフォルトで信頼できないポートであるため、アクセス ポートで受信した ARP パケットに DAI を使用します。トランク ポートはデフォルトで信頼されているため、ARP パケットは DAI をバイパスします。
各インターフェイス(ポート)ではなく、VLAN ごとに DAI を設定します。デフォルトでは、DAI はすべての VLAN で無効になっています。
インターフェイスを DHCP 信頼ポートに設定すると、ARP パケットに対しても信頼されます。
スイッチング デバイスが EX シリーズ スイッチで、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする Junos OS を使用する場合は、アクセス インターフェイスを DHCP 信頼できるポートに設定する方法については、「 信頼できる DHCP サーバー(ELS)を有効にする」 を参照してください。
ネットワーク デバイスが接続されているスイッチング デバイスに送信されるパケットの場合、ARP クエリは VLAN でブロードキャストされます。これらのクエリに対するARP応答には、DAIチェックが適用されます。
DAI の場合、すべての ARP パケットはパケット転送エンジンにトラップされます。CPU の過負荷を防ぐために、ルーティング エンジンを宛先とする ARP パケットはレートに制限があります。
DHCP サーバーがダウンし、以前に有効な ARP パケットの IP-MAC エントリーのリース時間が切れた場合、そのパケットはブロックされます。
検査済みパケットの優先度設定
QFXシリーズとEX4600スイッチでは、検査されたパケットの優先度の設定はサポートされていません。
CoS(サービス クラス)転送クラスとキューを使用して、指定された VLAN の DAI パケットの優先度を設定できます。このタイプの設定では、指定したエグレス キューにその VLAN の検査済みパケットが配置され、セキュリティ手順が優先度の高いトラフィックの送信に影響を与えないことを確認します。
ELS(Dynamic ARP Inspection)の有効化
このタスクでは、EX シリーズ スイッチに Junos OS を使用し、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートします。スイッチが ELS をサポートしていないソフトウェアを実行している場合は、「 動的 ARP インスペクション(非 ELS)の有効化」を参照してください。
DAI(Dynamic ARP Inspection)は、スイッチをARPスプーフィングから保護します。DAIはLAN上のARPパケットを検査し、スイッチのDHCPスヌーピングデータベースの情報を使用してARPパケットを検証し、ARPキャッシュポイズニングから保護します。
VLAN で DAI を有効にするには、VLAN を設定する必要があります。 ELS サポートを使用した EX シリーズ スイッチの VLAN の設定(CLI プロシージャ)を参照してください。
CLI を使用して VLAN で DAI を有効にするには、次の手順に従います。
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set arp-inspection
「」も参照
ダイナミック ARP インスペクションの有効化(非 ELS)
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートしていない EX シリーズ スイッチに Junos OS を使用します。スイッチが ELS をサポートするソフトウェアを実行している場合は、「 ELS(Dynamic ARP Inspection)の有効化」を参照してください。ELS の詳細については、「 拡張レイヤー 2 ソフトウェア CLI の使用」を参照してください。
DAI(Dynamic ARP Inspection)は、スイッチをARPスプーフィングから保護します。DAIはLAN上のARPパケットを検査し、スイッチのDHCPスヌーピングデータベースの情報を使用してARPパケットを検証し、ARPキャッシュポイズニングから保護します。
VLAN での DAI の有効化
各インターフェイス(ポート)ではなく、VLAN ごとに DAI を設定します。デフォルトでは、DAI はすべての VLAN で無効になっています。
VLAN またはすべての VLAN で DAI を有効にするには、以下の手順に基づきます。
単一の VLAN では、次の手順に基づきます。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
すべての VLAN で:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
ブリッジ ドメインでの DAI の有効化
必要に応じて ブリッジ ドメイン を設定するためのブリッジ ドメインの設定を参照してください。
ブリッジ ドメインで DAI を有効にするには、次の手順に基づいて行います。
[edit bridge-domains bridge-domain-name forwarding-options dhcp-security] user@device# set arp-inspection
CoS 転送クラスを適用して検査対象パケットの優先度を設定する
CoS(サービス クラス)を使用して、ネットワークの輻輳や遅延の期間中に重要なアプリケーションがドロップされないようにパケットを保護する必要がある場合や、これらの重要なパケットが出入りする同じポート上で DHCP スヌーピングのポート セキュリティー機能が必要になる場合もあります。
COS 転送クラスとキューを DAI パケットに適用するには、以下の手順に該当します。
DAIが正しく機能していることを確認する
目的
DAI(Dynamic ARP Inspection)がスイッチで動作していることを確認します。
アクション
スイッチに接続されたネットワーク デバイスから ARP リクエストを送信します。
DAI 情報を表示します。
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意味
サンプル出力は、通過したパケット数と各インターフェイスのインスペクションに失敗した数のリストを含む、インターフェイスごとに受信および検査されたARPパケットの数を示しています。スイッチは、ARP 要求を比較し、DHCP スヌーピング データベース内のエントリーに対して応答します。ARP パケット内の MAC アドレスまたは IP アドレスがデータベース内の有効なエントリーと一致しない場合、パケットはドロップされます。