Configuring Dynamic ARP Inspection（2回目）

はじめに

前回はCatalystスイッチのセキュリティ関連の機能であるDynamic ARP Inspection
の概要について説明しました。
今回からはインタフェースのtrust、untrustの話と設定についてみていきたい
と思います。

Interface Trust States and Network Security

Dynamic ARP inspectionはスイッチのインタフェースをtrust stateかuntruste state
に関連付けます。TrustedインタフェースからきたARPパケットはチェックをバ
イパスしますが、untrustedインタフェースからきたARPパケットはチェック処
理されます。
典型的な設定では、クライアントが接続されるポートはuntrustedに設定し、
スイッチが接続されるポートはtrustedとして設定します。この設定の場合は、
スイッチからやってくるパケットはチェックをバイパスします。Trustの設定
を行うにはip arp inspection trustインタフェースコマンドを使います。

下のリンク先の図を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12225see/scg/swdynarp.htm#wp1038944

SwitchAとSwitchBでDynamic ARP inspectionが動作しているとします。Host1
とHost2はSwtichAに接続されているDHCP ServerからIPアドレスを取得した場
合、SwitchAだけがHost1のIPとMACをbindingします。
よって、SwitchAとSwitchBの間のインタフェースをuntrustedとした場合、Host1
からのARPパケットはSwitchBによってDropされてしまい、ホスト1とホスト2の
接続はできなくなります。
実際にはuntrustedと設定するインタフェースをtrustedと設定するとネットワ
ークにセキュリティホールを残します。もし、SwitchAがDynamic ARP inspection
を実行していない場合、Host1は簡単にSwitchBやHost2のARP cacheをpoisoning
できます。
この状態はSwitchBでDynamic ARP inspectionを動作させていたとしても発生
します。
Dynamic ARP inspectionはuntrustedインタフェースにいるホストのARPが他の
ホストのARP cacheをpoisoningしないかどうかを確認します。しかし、他のネ
ットワークからARP cacheをpoisoningしようとするパケットは防げません。
このような、あるスイッチではDynamic ARP inspectionを動作させて、別のあ
るスイッチでは動作させていない場合はそのスイッチと接続されているインタ
フェースをuntrustedとして設定します。しかし、Dynamic ARP inspectionを
動作させていないスイッチからのパケットをチェックさせる場合は、Dynamic ARP
inspectionを動作させているスイッチでARP ACLを設定します。

Rate Limiting of ARP Packets

スイッチはDyamic ARP inspectionチェックをCPUで行います。よって、
Denial-of-Service Attackを防ぐために受信するARPの数を制限します。Default
ではuntrustedインタフェースでのrateは15ppsです。trustedインタフェース
のrate-limitはありません。
スイッチが受信するARPパケットの数が設定されたrateを超えた場合、スイッ
チはそのインタフェースをerror-disabled stateにします。そのポートは管理
者の介入（shut/no shut）がない限りerror-disabledのままです。Errdisable
recoveryコマンドを使用すれば一定の時間後に自動復旧させることが可能です。

Relative Priority of ARP ACLs and DHCP Snooping Entries

Dynamic ARP inspectionは有効なIPとMACのbindingにDHCP Snooping binding
databaseを使います。
ARP ACLはDHCP snooping binding dabaseのエントリよりも優先されます。ス
イッチは最初にARPパケットをユーザが設定したACLと比較します。ARP ACLが
そのARPパケットを拒否していた場合、DHCP snoopingにより作成されたdatabase
に有効なエントリとして存在していてもパケットを破棄します。

Logging of Dropped Packets

スイッチがDynamic ARP inspectionの結果パケットをDropすると、それをログ
バッファにおくり、system messageを生成します。messageが生成された後は、
スイッチはログバッファをクリアします。各ログのエントリは受信したVLAN、
ポートの番号、送信元とあて先のIPアドレス、送信元とあて先のMACアドレス
を含んでいます。
ip arp inspection log-bufferグローバルコンフィギュレーションコマンドを
使用するとログバッファに蓄えられるエントリの数やsystem messageを生成す
る間隔などを指定できます。

Default Dynamic ARP Inspection Configuration

Dynamic ARP Inspectionのデフォルト設定を以下に示します。

• Dynamic ARP Inspection ：全てのVLANで無効
• Interface trust state：全てのインタフェースでuntrusted
• Rate limit of incoming ARP packets：untrustedインタフェースでは15pps trustedインタフェースでは制限なし burst intervalは1秒
• ARP ACLs for non-DHCP enviroments：ARP ACLは定義されていない
• Validation check： validation checkは無効
• Log Buffer：Dynamic ARP inspectionを有効にすると、すべてのDropされたARPパケットをloggedログのエントリ数は32
  system messageの生成間隔は5 per second
  logging-rate intervalは1秒
• Per-VLAN logging：全てのDropされたARPパケットをlogged

次回以降もDynamic ARP Inspectionの設定について見ていきます。

By 『Overseas and Beyond』 Koichi