ARP memiliki kegunaan untuk menyediakan komunikasi IP dalam broadcast domain layer 2 dengan cara melakukan pemetaan atau mapping sebuah IP addres ke MAC addressnya. Sebagai contoh Host B ingin mengirimkan informasi ke Host A tetapi belum mengetahui info mac address Host A di dalam ARP cache nya. Host B akan mem-broadcast pesan/message untuk setiap host di dalam broadcast domain untuk mendapatkan mac address. Sementara itu, karena ARP mengijinkan balasan yang serampangan dari sebuah host meskipun sebuah ARP request tidak diterima, sebuah ARP spoofing attack dan poisoning of ARP dapat terjadi. Setelah serangan, seluruh traffic dari device yang diserang akan mengalir melalui komputer penyerang, lalu ke router, switch, atau host.
Seorang oknum pengguna dapat menyerang host, switch, dan router yang terkoneksi dengan jaringan layer 2 anda dengan melakukan poisoning ke ARP caches dari system yang terkoneksi ke subnet dan menangkap traffic yang ditujukan ke host lain di dalam subnet tersebut. gambar dibawah menunjukkan contoh dari ARP poisoning.
Host A, B, dan C yang terhubung ke switch pada interface A, B dan C, yang semuanya di subnet yang sama. Alamat IP dan MAC mereka akan ditampilkan dalam tanda kurung; misalnya, Host A menggunakan alamat IP IA dan alamat MAC MA. Ketika Host A perlu berkomunikasi dengan Host B pada lapisan IP, Host A akan menyiarkan permintaan ARP untuk alamat MAC terkait dengan alamat IP IB. Ketika switch dan Host B menerima permintaan ARP, mereka mengisi ARP cache dengan ARP Binding untuk host dengan alamat IP IA dan MAC address MA; misalnya, alamat IP IA terikat ke alamat MAC MA. Ketika Host B merespon, switch dan Host A mengisi ARP cache mereka dengan melakukan binding untuk host dengan alamat IP IB dan alamat MAC MB.
Host C dapat meracuni ARP chache dari switch, Host A, dan Host B dengan menyiarkan forged ARP Response dengan binding untuk host dengan alamat IP dari IA (atau IB) dan alamat MAC dari MC. Host dengan ARP cache yang teracuni menggunakan alamat MAC MC sebagai tujuan alamat MAC untuk lalu lintas yang ditujukan untuk IA atau IB. Ini berarti host C melakukan penyadapan lalu lintas. Karena host C tahu alamat MAC yang benar terkait dengan IA dan IB, dia dapat meneruskan lalu lintas yang telah disadap menuju host-host A & B dengan menggunakan alamat MAC yang benar sebagai tujuan selanjutnya. Host C telah memasukkan dirinya sendiri ke dalam aliran lalu lintas dari Host A ke Host B, hal ini sering disebut sebagai man-in-the-middle attacks.
ARP Dynamic Inspection adalah fitur keamanan yang memvalidasi paket ARP di jaringan. Fitur Ini akan memotong, mencatat, dan membuang paket ARP dengan IP-to-MAC address binding yang tidak valid. Kemampuan ini tentu akan melindungi jaringan dari serangan man-in-the-middle tertentu.
ARP Dynamic Inspection memastikan bahwa hanya permintaan dan respon ARP yang valid saja yang disampaikan.
Untuk itu, Switch melakukan kegiatan ini:
• Memotong semua request dan response ARP pada port yang tidak dipercaya
• Memverifikasi bahwa masing-masing paket yang dicegat memiliki alamat IP-to-MAC yang valid sebelum memperbarui ARP cache lokal atau sebelum meneruskan paket ke tujuan yang tepat
• Drops paket ARP yang tidak valid.
ABOUT THE AUTHOR
Hello, this blog was originated for sharing and keeping all my finding about IT, Cities I traveled, and other, in line with my life motto "Make yourself usefull". BTW, Sorry for my English :)
0 komentar:
Posting Komentar