基本的なアンマネージドイーサネットネットワークスイッチを使用するネットワークでは、ARP(Address Resolution Protocol)攻撃が深刻な脅威となります。セキュリティ機能がないため、これらの「ダム」スイッチは悪意のあるARPパケットを検出またはブロックできず、の保護は、ARP攻撃に対する堅牢な保護を保証し、イーサネットネットワークを高速、安全、かつ信頼性の高いものに保ちます。NICネットワークインターフェースカードおよびを脆弱なままにします。
インテリジェントな保護なし:アンマネージドスイッチは、レイヤー2でパケットを転送するだけで、ACL、ファイアウォール、またはARPインスペクションがありません。
ARPプロトコルの弱点:ARPには認証がありません。どのデバイスでもゲートウェイであると主張でき、スイッチはARPテーブルを自動的に更新します。
一般的な攻撃:攻撃者はARPスプーフィングを実行してトラフィックを傍受し、ネットワークの速度低下、データ漏洩、セッションハイジャックを引き起こします。
スタティックARPバインディング
サーバーやゲートウェイなどの主要ホストで、IPアドレスを正しいMACアドレスにバインドします。
Windows:
arp -s [GatewayIP] [GatewayMAC] Linux:
ip neigh add [GatewayIP] lladdr [GatewayMAC] dev eth0 nud permanent これにより、
サーバーネットワークカードおよびホストベースのARP保護
エンドポイントセキュリティソフトウェアをインストールして、ARPスプーフィングを検出します。アラートまたは自動ブロックは、アンマネージドスイッチでも
イーサネットネットワークインターフェースカードを保護するのに役立ちます。ゲートウェイレベルのセキュリティ
ネットワークゲートウェイがサポートしている場合は、以下を有効にします。
ダイナミックARPインスペクション(DAI)
IP+MAC+ポートバインディング
ARP保護ルール
これにより、防御が集中化され、接続されているすべての
NICネットワークインターフェースカードの保護は、ARP攻撃に対する堅牢な保護を保証し、イーサネットネットワークを高速、安全、かつ信頼性の高いものに保ちます。マネージドスイッチへの投資と
VLANまたは物理的な分離を使用して、機密性の高いデバイスを分離します。攻撃者がARPスプーフィングに成功した場合でも、重要なシステムにアクセスすることはできません。
結論
ネットワークイーサネットスイッチでは、防御は主に反応的です。スタティックARPバインディング、ホスト保護、ゲートウェイポリシー、およびネットワークセグメンテーションを使用すると、リスクを減らすことができますが、最も信頼できるソリューションは、マネージドイーサネットネットワークスイッチへのアップグレードです。マネージドスイッチへの投資と
サーバーネットワークカードおよびNICネットワークインターフェースカードの保護は、ARP攻撃に対する堅牢な保護を保証し、イーサネットネットワークを高速、安全、かつ信頼性の高いものに保ちます。技術的な懸念事項については、喜んでお手伝いさせていただきます。
