web-dev-qa-db-ja.com

DHCPスヌーピング、ダイナミックARPインスペクション、IPガードの短所は何ですか?

Dhcp starving、macおよびip spoofing- ip guard、dhcp snooping、およびダイナミックarpインスペクションに対する2つのレイヤー2保護について読みました。

それらを回避できる短所や脆弱性はありますか、それとも安全に使用できますか?

Dhcpバインディングテーブルの各レコードには存続時間があり、テーブル自体のサイズに制限があることに気付きましたが、それが攻撃にどのように役立つかわかりません。

man-in-the-middleipdhcpswitchstarvation
2
adi

TL; DR-安全に使用できますbut、これはソリューションの構成と実装に依存します(注記したように、dhcpバインディングテーブルが問題になる可能性があります、 IPソースガードとARPインスペクションがそれに依存しているためです)。

ARPインスペクションによるDHCPスヌーピング

ARPインスペクションとDHCPスヌーピングは、優れた組み合わせ(「スーパーカップル」)です。

スイッチの信頼できるポートをホワイトリストに登録し、(MACスプーフィングを防止する)ARPインスペクションを使用して、静的DHCPバインディングテーブルを修正する限り、非常に安全です。

何故ですか?

  1. ARPインスペクションだれも自分のMACを偽ることができないことを維持します
  2. DHCPバインディングテーブル-ARP検査は、MACおよび
  3. 信頼できるポートをホワイトリストに登録するスイッチの下のデバイスを、DHCPサーバーのふりをしようとしている他のマシンから安全に保ちます

DHCPバインディングテーブルとIPソースガード

ARPインスペクションと同様に、このソリューションもDHCPバインディングテーブルに依存しています。

一般的なヒント

  • ネットワークに「temp」ユーザーが多い場合は、バインディングテーブルで短いリースを使用します(前述のとおり、テーブルは制限されています)。
  • ARPIまたはIP Guardを使用するには、DHCPスヌーピングをアクティブにする必要があります(通常、3つすべてを一緒に使用します)。
1
user3467955