Jak zabezpieczyć sieć wykorzystując ARP

Z MikroTik Wiki

Pomimo faktu, że hosty w sieci IP adresowani są przy użyciu adresów IP, adresy sprzętowe są używane do faktycznego transportu danych pomiędzy hostami w warstwie 2 (np. Ethernet). Address Resolution Protocol (ARP) zapewnia mapowanie pomiędzy dwoma różnymi formami adresacji. Router posiada tablicę ARP zawierającą wpisy ARP. Wpisy ARP składają się z adresów IP i odpowiadającym im adresami sprzętowymi (jak adres MAC). Zazwyczaj ARP zapewnia dynamiczne mapowanie z adresu IP do odpowiadającemu mu adresowi sprzętowem poprzez automatyczne dodawania wpisów ARP, ale w celu zwiększenia bezpieczeństwa sieci, statyczne wpisy ARP mogą być dodawane. Poprzez zezwolenie routerowi na odpowiadanie tylko statycznym wpisom ARP z tablicy ARP ogranicza dostęp do routera i sieci za routerem. Tylko hosty zawierające wpisy w tablicy ARP mają dostęp. Aby włączyć używanie przez router tylko statycznych wpisów ARP wykonaj poniższe kroki:

1. Dodaj wpisy ARP hostów w WinBoksie

lub w konsoli

[admin@RB230] ip arp> add address=10.10.10.10 interface=ether2 mac-address=06 \
\... 00:21:00:56:00:12

2. Ustaw, aby interfejs ether2 odpowiadał tylko na żądania ARP przy użyciu wpisów ARP określonych w WinBoksie

lub konsoli

[admin@RB230] > interface ethernet set ether2 arp=reply-only