Как настроить коммутатор для предотвращения сканирования IP (Anti-ARP Scan)

В данной статье будет описана настройки функции Anti-ARP Scan, чтобы предотвратить сканирование локальной сети злоумышленниками.  
Сканирование ARP - это метод, с помощью которого злоумышленники отправляют несколько ARP запросов в течение очень короткого периода времени по широковещательному домену.

Сканирование IP с проводных и беспроводных устройств

Примечание: Все IP адреса и маски в указанной топологии используются в качестве примера. В примере, точки доступа используют заводскую настройку радио и SSID профиля. В примере, в качестве IP сканера будет использоваться приложение "Zenmap". Скриншоты настроек коммутатора сделаны с WEB интерфейса коммутатора серии XGS4600.

1. Пошаговая настройка

2. Проверка результата

3. Что может пойти не так?

1. Пошаговая настройка

• Подключитесь к WEB интерфейсу коммутатора.
• Перейдите в Advance Application > Anti-Arpscan > Configure.
  Установите флажок у поля Active и настройте порт, куда подключен восходящий канал связи (в примере, порт 24), как "Trusted". Нажмите Apply.

-Опциональная настройка-

• Перейдите в Advance Application > Errdisable > Errdisable Recovery.
  Установите флажок у поля Active и активируйте anti-arpscan. Нажмите Apply.

2. Проверка результата

• Загрузите и установите программное обеспечение для IP-сканирования на компьютеры Host-A и Host-C (см. топологию).
• Подключите компьютеры Host-A и Host-B через беспроводную сеть

• Host-А должен инициировать сканирование диапазона IP адресов с 192.168.1.1 по 192.168.1.20.
• Host-A должен потерять доступ к USG (шлюзу)

• Перейдите в WEB интерфейс коммутатора. Перейдите в Advance Application > Anti-Arpscan > Host Status. Host-A должен появиться в таблице с пометкой "Err-Disable".

Примечание: Если функция Errdisable Recovery была предварительно настроена на коммутаторе, Host-A должен будет снова получить доступ до USG (шлюза) после заданного интервала времени.

• Host-B должен все еще иметь доступ до USG
• Подключите Host-C к USG
• Host-C должен выполнить быстрое сканирование (Quick Scan) до диапазона адресов с 192.168.1.1 по 192.168.1.100.

• Host-C потеряет доступ до шлюза

• Перейдите в WEB интерфейс коммутатора. Перейдите в Advance Application > Anti-Arpscan. Порт 2 должен появиться в таблице со статусом Err-disable.

Примечание: Если функция Errdisable Recovery была предварительно настроена на коммутаторе, Host-C должен будет снова получить доступ до USG (шлюза) после заданного интервала времени. Статус порта 2 должен будет поменяться на Forwarding.

3. Что может пойти не так?

Если доступ к серверам или локальному шлюзу не будет работать после включения Anti-Arpscan, убедитесь, что только порты, к которым напрямую подключены хосты или точки доступа настроены как "Untrusted". 
Порты для серверов и локального шлюза должны быть настроены как "Trusted".

Если все хосты, подключенные через точку доступа, больше не могут получить доступ к шлюзу, проверьте, что порт, куда подключена точка, поменял свой статус на Err-disable в меню Advance Application > Anti-Arpscan.

Если это так, увеличьте значение параметра Port Threshold в меню Advance Application > Anti-Arpscan > Configure.

KB-00310