Cisco SG300-10 Administratorhandbuch Seite 372

Sicherheit
ARP-Prüfung
ARP Cache Poisoning
Host A, B und C sind mit dem Switch an den Schnittstellen A, B und C verbunden, die sich alle im gleichen
Subnetz befinden. Die IP- und MAC-Adressen stehen in Klammern. So verwendet beispielsweise Host A die
IP-Adresse IA und die MAC-Adresse MA. Wenn Host A auf der IP-Schicht mit Host B kommunizieren muss,
sendet er eine ARP-Anforderung für die MAC-Adresse, die IP-Adresse B zugeordnet ist. Host B antwortet
mit einer ARP-Antwort. Der Switch und Host A aktualisieren ihren ARP-Cache mit der MAC- und IP-Adresse
von Host B.
Host C kann die ARP-Caches des Switch und von Host A und Host B vergiften, indem er gefälschte ARP-
Antworten mit Bindungen für einen Host mit der IP-Adresse IA (oder IB) und der MAC-Adresse MC sendet.
Hosts mit vergiftetem ARP-Cache verwenden die MAC-Adresse MC als Ziel-MAC-Adresse für Verkehr, der
für IA oder IB gedacht ist. Auf diese Weise kann Host C diesen Verkehr abfangen. Da Host C die IA und IB
zugeordneten tatsächlichen MAC-Adressen kennt, kann er den abgefangenen Verkehr an diese Hosts
weiterleiten und dabei die richtige MAC-Adresse als Ziel verwenden. Host C hat sich in den Verkehrsstrom
von Host A an Host B eingeschaltet, ein klassischer Man-in-the-Middle-Angriff.
So verhindert ARP Cache Poisoning:
Für die ARP-Prüfungsfunktion sind Schnittstellen vertrauenswürdig oder nicht vertrauenswürdig (siehe
Seite „Sicherheit > ARP-Prüfung > Schnittstelleneinstellung").
Schnittstellen werden vom Benutzer wie folgt klassifiziert:
• Vertrauenswürdig: Pakete werden nicht überprüft.
• Nicht vertrauenswürdig: Pakete werden wie oben beschrieben überprüft.
Administratorhandbuch für Managed Switches der Serie 300 von Cisco Small Business
19
371