Dynamic ARP Inspection

Angol

Főnév

Dynamic ARP Inspection (tsz. Dynamic ARP Inspections)

1. (informatika) A Dynamic ARP Inspection (DAI), magyarul dinamikus ARP ellenőrzés, egy biztonsági funkció, amelyet switchek (kapcsolók) hajtanak végre a hálózaton. A DAI célja az, hogy megakadályozza az ARP spoofing vagy ARP poisoning típusú támadásokat.

Ezek a támadások kihasználják az ARP protokoll (Address Resolution Protocol) gyengeségeit, amely alapvetően megbízik minden válaszban – még akkor is, ha az hamis.

---

Mi az ARP és miért sebezhető?

Az ARP (Address Resolution Protocol) azt a célt szolgálja, hogy egy IP-címhez hozzárendelje a fizikai MAC-címet. Például, ha egy gép tudja, hogy 192.168.1.10 IP-címet szeretne elérni, de nem tudja annak MAC-címét, akkor ARP-kérést küld: “Kié az IP: 192.168.1.10?”

Az ARP válaszban az adott eszköz megadja a MAC-címét: “Az IP 192.168.1.10 az enyém, a MAC címem: 00:11:22:33:44:55.”

A probléma az, hogy bárki válaszolhat erre a kérésre – az ARP nem ellenőrzi a válasz hitelességét. Ezt használják ki az ARP spoofing támadók.

---

Mi az az ARP Spoofing?

Az ARP spoofing során egy támadó hamis ARP válaszokat küld a hálózaton, és azt állítja, hogy egy másik IP-címhez tartozik az ő MAC-címe. Ezzel például:

• a forgalmat eltérítheti (Man-in-the-Middle támadás),
• lehallgathatja vagy módosíthatja az adatokat,
• vagy akár megszakíthatja a kommunikációt.

Példa: - A támadó azt állítja, hogy ő a 192.168.1.1 (gateway), - így a kliensek a támadó MAC-címére küldik a kimenő csomagokat.

---

Hogyan működik a Dynamic ARP Inspection?

A DAI ellenőrzi az ARP csomagokat, mielőtt azokat elfogadná és továbbítaná a hálózaton. Csak azok az ARP válaszok (vagy kérések) engedélyezettek, amelyek megbízható forrásból származnak.

A DAI ehhez a DHCP snooping által létrehozott bindigs adatbázist használja, amely IP–MAC cím párokat tartalmaz. Ez az adatbázis az alapja annak, hogy a switch el tudja dönteni, melyik ARP válasz valódi, és melyik hamis.

---

A DAI működésének lépései

1. A DHCP snooping naplózza, hogy melyik IP-címhez melyik MAC-cím tartozik, és ez melyik interfészen jelent meg.
2. Amikor egy eszköz ARP-választ küld, a switch megnézi:
   • az ARP csomagban szereplő IP–MAC párt,
   • és az interfészt, amelyről a csomag jött.
3. Ha a csomagban szereplő adatok egyeznek a DHCP snooping adatbázissal → engedélyezve van.
4. Ha nem egyeznek → a switch eldobja a csomagot és naplózza az eseményt.

---

Megbízható vs. nem megbízható portok

• A switch megbízható portként kezeli például a DHCP szerver felé vezető uplink portot – ezen nem ellenőrzi az ARP csomagokat.
• Nem megbízható portokon (pl. végfelhasználói portok) minden ARP üzenetet szigorúan ellenőriz.

---

DAI előnyei

✅ Megakadályozza az ARP spoofing támadásokat.

✅ Megvédi a felhasználói adatokat a lehallgatástól (pl. Man-in-the-Middle).

✅ Növeli a LAN hálózat biztonságát minimális extra konfigurációval.

---

DAI hátrányai / korlátai

❌ Függ a DHCP snooping-tól – ha statikus IP-címeket használnak, a védelem nem teljes.

❌ Komplexebb konfiguráció nagy hálózatokban.

❌ Hamis pozitív blokkolások történhetnek, ha az ARP információk elavulnak.

---

DAI konfigurálása – Cisco IOS példa

! DHCP snooping engedélyezése
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10

! Megbízható interfész beállítása (pl. uplink)
Switch(config-if)# interface GigabitEthernet0/1
Switch(config-if)# ip dhcp snooping trust

! DAI engedélyezése VLAN 10-en
Switch(config)# ip arp inspection vlan 10

! Megbízható port beállítása DAI-hoz is
Switch(config-if)# ip arp inspection trust

---

DAI naplózása és hibakeresés

A switch képes naplózni és megjeleníteni a blokkolt ARP csomagokat:

Switch# show ip arp inspection
Switch# show ip arp inspection statistics
Switch# show ip dhcp snooping binding

Ezekkel az eszközökkel ellenőrizhető, miért lett blokkolva egy-egy forgalom, és finomhangolható a rendszer.

---

Alternatív védelem, kiegészítő technikák

• Port Security – MAC-cím alapú korlátozás egy interfészen.
• Private VLAN – kommunikáció korlátozása kliensek között.
• IP Source Guard – IP–MAC páros ellenőrzése portonként.

A DAI gyakran ezekkel együtt alkot komplex hálózati biztonsági rendszert, különösen vállalati hálózatokban.

---

Összefoglalás

A Dynamic ARP Inspection egy hatékony hálózatbiztonsági eszköz, amely megvédi a hálózatot az ARP-alapú támadásoktól. A működésének alapja, hogy csak azokat az ARP csomagokat engedi át, amelyek egyeznek a DHCP snooping adatbázisában található adatokkal. Bár igényel némi beállítást és karbantartást, a biztonsági előnyei jelentősek – főként olyan környezetekben, ahol sok ismeretlen vagy változó végpont van jelen (pl. irodai hálózatok, oktatási intézmények).

További információk

• Dynamic ARP Inspection - Szótár.net (en-hu)
• Dynamic ARP Inspection - Sztaki (en-hu)
• Dynamic ARP Inspection - Merriam–Webster
• Dynamic ARP Inspection - Cambridge
• Dynamic ARP Inspection - WordNet
• Dynamic ARP Inspection - Яндекс (en-ru)
• Dynamic ARP Inspection - Google (en-hu)
• Dynamic ARP Inspection - Wikidata
• Dynamic ARP Inspection - Wikipédia (angol)