ARP インスペクションの設定
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス |
---|---|---|---|---|
任意 |
該当なし |
Firepower Threat Defense |
任意 |
Access Admin |
デフォルトでは、ブリッジグループのメンバーの間ですべての ARP パケットが許可されます。ARP パケットのフローを制御するには、ARP インスペクションを有効にします。
ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます(ARP スプーフィングと呼ばれる)のを防止できます。ARP スプーフィングが許可されていると、「中間者」攻撃を受けることがあります。たとえば、ホストが ARP 要求をゲートウェイ ルータに送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホストトラフィックを代行受信してルータに転送できるようになります。
ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある限り、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。
ARP インスペクションをイネーブルにすると、/Firepower Threat Defense デバイス は、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較し、次のアクションを実行します。
-
IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。
-
MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、/Firepower Threat Defense デバイス はパケットをドロップします。
-
ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送(フラッディング)するか、またはドロップするように /Firepower Threat Defense デバイス を設定できます。
(注)
専用の /診断 インターフェイスは、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。
手順
ステップ 1 |
Firepower Threat Defense ポリシーを作成または編集します。 を選択し、 |
ステップ 2 |
[ARP インスペクション(ARP Inspection)] を選択します。 |
ステップ 3 |
ARP インスペクション テーブルにエントリを追加します。 |
ステップ 4 |
スタティック ARP エントリの追加に従って、静的 ARP エントリを追加します。 |
ステップ 5 |
[保存(Save)] をクリックします。 これで、[展開(Deploy)] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。 |