Cisco Proxy ARP закрываем уязвимость |

Cisco Proxy ARP закрываем уязвимость

Закрытие уязвимостей

Cisco включает по умолчанию функцию Proxy ARP на интерфейсах третьего уровня своего оборудования. Вы можете о ней даже не знать, а она есть…

Proxy ARP позволяет интерфейсу отвечать на “чужие” ARP-запросы своим маком. Это происходит, когда выполняются следующие условия (все сразу):

  • – целевой IP-адрес ARP-запроса находится в IP-подсети, отличной от IP-подсети, в которой ARP-запрос получен
  • – маршрутизатор имеет один или несколько маршрутов к целевому IP-адресу ARP-запроса
  • – маршруты к целевому IP-адресу ARP-запроса указывают на исходящий интерфейс, отличный от интерфейса, на который ARP-запрос был получен

Это может быть нужно, когда:

  1. Используется NAT с пулом адресов, не входящих в ту же сеть, что и адрес интерфейса
  2. Используется странная фрагментация сети, когда клиенты считают, что их сеть шире, чем прописано на интерфейсе. Например, если клиенты не поддерживают произвольную длину маски.

Proxy ARP в некоторой степени расширяет широковещательный домен, увеличивая область применения сетевых атак на локальный сегмент. Поэтому его рекомендуется отключать. Ну и избыточная функциональность – к чему она?

При настройке NAT (первый случай применения Proxy ARP) рекомендуется назначать интерфейсу секондари адрес из пула NAT, это включит еще и Gratuitous ARP.

Второй случай использования Proxy ARP весьма специфический и очень редкий.

Так что выключаем) Можно выключить глобально:

 (config)# ip arp proxy disable 

Или на каждом интерфейсе:

(config-if)# no ip proxy-arp 

На ASA:

 (config)# sysopt noproxyarp <interface_name> 

Источник: https://t.me/informhardening

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий