Dynamic ARP Inspection(DAI)の理解と使用
ダイナミック ARP インスペクション(DAI)は、ARP(アドレス解決プロトコル)パケット スプーフィング(ARP ポイズニングまたは ARP キャッシュ ポイズニングとも呼ばれる)からスイッチング デバイスを保護します。
DAI は LAN 上の ARP を検査し、スイッチ上の DHCP スヌーピング データベースの情報を使用して ARP パケットを検証し、ARP スプーフィングから保護します。ARP 要求と応答は DHCP スヌーピング データベースのエントリと比較され、フィルタリングの決定はそれらの比較の結果に基づいて行われます。攻撃者が偽造されたARPパケットを使用してアドレスをスプーフィングしようとすると、スイッチはそのアドレスをデータベース内のエントリと比較します。ARP パケット内のメディア アクセス制御(MAC)アドレスまたは IP アドレスが DHCP スヌーピング データベースの有効なエントリと一致しない場合、パケットはドロップされます
ARP スプーフィングとインスペクションについて
ARP パケットはルーティング エンジンに送信され、CPU の過負荷からスイッチング デバイスを保護するためにレート制限されます。
アドレス解決プロトコル
マルチアクセス ネットワークで IP パケットを送信するには、IP アドレスをイーサネット MAC アドレスにマッピングする必要があります。
イーサネットLANは、ARPを使用してMACアドレスをIPアドレスにマッピングします。
スイッチング デバイスは、ネットワーク デバイスにパケットを転送するときに参照するキャッシュにこのマッピングを維持します。ARP キャッシュに宛先デバイスのエントリが含まれていない場合、ホスト(DHCP クライアント)はそのデバイスのアドレスの ARP 要求をブロードキャストし、応答をキャッシュに格納します。
ARP スプーフィング
ARPスプーフィングは、中間者攻撃を開始する方法の1つです。攻撃者は、LAN上の別のデバイスのMACアドレスをスプーフィングするARPパケットを送信します。スイッチング デバイスは、適切なネットワーク デバイスにトラフィックを送信する代わりに、適切なデバイスになりすましているスプーフィングされたアドレスを持つデバイスにトラフィックを送信します。なりすましているデバイスが攻撃者のマシンである場合、攻撃者は別のデバイスに移動したはずのスイッチからすべてのトラフィックを受信します。その結果、スイッチング デバイスからのトラフィックの宛先が誤って表示され、適切な宛先に到達できなくなります。
ARP スプーフィングの 1 つのタイプにGratuitous ARPがあります。これは、ネットワーク デバイスが自身の IP アドレスを解決するために ARP 要求を送信する場合です。通常の LAN 運用では、Gratuitous ARP メッセージは、2 つのデバイスが同じ MAC アドレスを持っていることを示します。また、デバイス内のネットワーク インターフェイス カード(NIC)が変更され、デバイスが再起動されると、LAN 上の他のデバイスが ARP キャッシュを更新するようにブロードキャストされます。悪意のある状況では、攻撃者は、特定のIPアドレス宛てのすべてのパケットを代わりに別のMACアドレスに送信するように指示するARP応答をデバイスに送信することにより、ネットワークデバイスのARPキャッシュをポイズニングできます。
Gratuitous ARP やその他のタイプのスプーフィングによる MAC スプーフィングを防止するために、スイッチは DAI を介した ARP 応答を調べます。
ダイナミック ARP インスペクション
DAI は、LAN 上の ARP の要求と応答を調査し、ARP パケットを検証します。スイッチはアクセス ポートからの ARP パケットを代行受信し、DHCP スヌーピング データベースと照合します。データベース内の IP-MAC エントリーが ARP パケット内の情報に対応するものがない場合、DAI は ARP パケットをドロップし、ローカル ARP キャッシュはそのパケット内の情報で更新されません。また、パケット内の IP アドレスが無効な場合、DAI は ARP パケットをドロップします。ARP プローブ パケットは、ダイナミック ARP インスペクションの対象にはなりません。スイッチは常にこのようなパケットを転送します。
EX シリーズ スイッチおよび QFX シリーズの Junos OS は、アクセス ポートで受信した ARP パケットに DAI を使用します。これは、これらのポートがデフォルトで信頼できないためです。トランク ポートはデフォルトで信頼されているため、ARP パケットはトランク ポートの DAI をバイパスします。
DAI は、インターフェイス(ポート)ごとではなく、VLAN ごとに設定します。デフォルトでは、DAI はすべての VLAN で無効になっています。
インターフェイスをDHCPトラステッドポートに設定すると、ARPパケットに対しても信頼されます。
スイッチング デバイスが EX シリーズ スイッチで、ELS(拡張レイヤー 2 ソフトウェア)設定スタイル対応の Junos OS を使用している場合、DHCP トラステッド ポートとしてアクセス インターフェイスを設定する方法については、 信頼できる DHCP サーバー(ELS)の有効化 を参照してください。
ネットワーク デバイスが接続されているスイッチング デバイスに送信されたパケットの場合、ARP クエリーは VLAN 上でブロードキャストされます。これらのクエリーに対するARP応答は、DAIチェックの対象となります。
DAI の場合、すべての ARP パケットがパケット転送エンジンにトラップされます。CPU の過負荷を防ぐため、ルーティング エンジン宛ての ARP パケットはレート制限されています。
DHCP サーバーがダウンし、以前に有効だった ARP パケットの IP-MAC エントリのリース時間がなくなると、そのパケットはブロックされます。
検査済みパケットの優先順位付け
検査済みパケットの優先度設定は、QFX シリーズおよび EX4600 スイッチではサポートされていません。
サービスクラス(CoS)転送クラスとキューを使用して、特定のVLANのDAIパケットに優先順位を付けることができます。このタイプの設定では、そのVLANの検査済みパケットが指定したエグレス キューに配置され、セキュリティ手順が優先度の高いトラフィックの送信に干渉しないようにします。
ELS(Dynamic ARP Inspection)の有効化
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。ご使用のスイッチが ELS をサポートしていないソフトウェアを実行している場合は、 ダイナミック ARP インスペクションの有効化(非 ELS)を参照してください。
ダイナミックARPインスペクション(DAI)は、ARPスプーフィングからスイッチを保護します。DAI は、LAN 上の ARP パケットを検査し、スイッチ上の DHCP スヌーピング データベースの情報を使用して ARP パケットを検証し、ARP キャッシュ ポイズニングから保護します。
VLAN で DAI を有効にする前に、VLAN を設定する必要があります。 ELS をサポートする EX シリーズ スイッチの VLAN の設定(CLI 手順)を参照してください。
CLI を使用して VLAN で DAI を有効にするには、次の手順を実行します。
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set arp-inspection
関連項目
ダイナミック ARP インスペクションの有効化(非 ELS)
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートしない、EX シリーズスイッチでJunos OSを使用します。ご使用のスイッチが ELS をサポートしているソフトウェアを実行している場合は、 ELS(Dynamic ARP Inspection)の有効化を参照してください。ELSの詳細については、「 拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
ダイナミックARPインスペクション(DAI)は、ARPスプーフィングからスイッチを保護します。DAI は、LAN 上の ARP パケットを検査し、スイッチ上の DHCP スヌーピング データベースの情報を使用して ARP パケットを検証し、ARP キャッシュ ポイズニングから保護します。
VLAN での DAI の有効化
DAI は、インターフェイス(ポート)ごとではなく、VLAN ごとに設定します。デフォルトでは、DAI はすべての VLAN で無効になっています。
1つのVLANまたはすべてのVLANでDAIを有効にするには、次の手順に従います。
単一 VLAN の場合:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
すべての VLAN の場合:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
ブリッジ ドメインでの DAI の有効化
必要に応じて、 ブリッジ ドメインを設定するには、 ブリッジ ドメインの設定 を参照してください。
ブリッジ ドメインで DAI を有効にするには、次の手順に従います。
[edit bridge-domains bridge-domain-name forwarding-options dhcp-security] user@device# set arp-inspection
CoS転送クラスを適用して、検査対象パケットに優先順位を付ける
ネットワークの輻輳や遅延時に重要なアプリケーションからパケットがドロップされないように保護するために、サービスクラス(CoS)を使用する必要がある場合や、これらの重要なパケットが出入りするのと同じポートでDHCPスヌーピングのポートセキュリティ機能が必要になる場合もあります。
CoS 転送クラスとキューを DAI パケットに適用するには:
DAI が正しく動作していることの検証
目的
スイッチで DAI(Dynamic ARP Inspection)が動作していることを確認します。
アクション
スイッチに接続されたネットワーク デバイスからARP 要求をいくつか送信する。
DAI 情報を表示します。
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意味
サンプル出力には、インターフェイスごとに受信および検査された ARP パケットの数と、各インターフェイスで検査に合格したパケット数と失敗したパケット数のリストが表示されます。スイッチは、ARP 要求および応答を DHCP スヌーピング データベースのエントリと比較します。ARP パケット内の MAC アドレスまたは IP アドレスがデータベース内の有効なエントリと一致しない場合、パケットはドロップされます。