Cisco Proxy ARP закрываем уязвимость

Cisco включает по умолчанию функцию Proxy ARP на интерфейсах третьего уровня своего оборудования. Вы можете о ней даже не знать, а она есть…

Proxy ARP позволяет интерфейсу отвечать на «чужие» ARP-запросы своим маком. Это происходит, когда выполняются следующие условия (все сразу):

  • — целевой IP-адрес ARP-запроса находится в IP-подсети, отличной от IP-подсети, в которой ARP-запрос получен
  • — маршрутизатор имеет один или несколько маршрутов к целевому IP-адресу ARP-запроса
  • — маршруты к целевому IP-адресу ARP-запроса указывают на исходящий интерфейс, отличный от интерфейса, на который ARP-запрос был получен

Это может быть нужно, когда:

  1. Используется NAT с пулом адресов, не входящих в ту же сеть, что и адрес интерфейса
  2. Используется странная фрагментация сети, когда клиенты считают, что их сеть шире, чем прописано на интерфейсе. Например, если клиенты не поддерживают произвольную длину маски.

Proxy ARP в некоторой степени расширяет широковещательный домен, увеличивая область применения сетевых атак на локальный сегмент. Поэтому его рекомендуется отключать. Ну и избыточная функциональность — к чему она?

При настройке NAT (первый случай применения Proxy ARP) рекомендуется назначать интерфейсу секондари адрес из пула NAT, это включит еще и Gratuitous ARP.

Второй случай использования Proxy ARP весьма специфический и очень редкий.

Так что выключаем) Можно выключить глобально:

 (config)# ip arp proxy disable 

Или на каждом интерфейсе:

(config-if)# no ip proxy-arp 

На ASA:

 (config)# sysopt noproxyarp <interface_name> 

Источник: https://t.me/informhardening

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40