ASA, cisco, fix, güvenlik, ipucu, network

Cisco ASA 9.x’te ARP Zehirlenmesi Veya ARP Spoofing Sorun Giderme

1. Amaç

 

Bu yazımızda, Cisco ASA firewall’a ait bir mac adresinin ARP tablosundaki birçok IP adresiyle eşlendiğinde sorunun nasıl çözüleceği açıklanacaktır.

 

2. Sorun Açıklaması

 

İnternete bağlı bulunan ve IOS sürüm 9.x çalıştıran bir Cisco ASA güvenlik duvarımız olsun. Cisco ASA güvenlik duvarının dış arabirimindeki genel IP 117.100.100.0/29’dur.

 

Cisco ASA güvenlik duvarındaki dış arabirimin MAC adresi, ISP yönlendiricisindeki ARP tablosundaki tüm genel IP adresleriyle eşlenir ve Cisco ASA güvenlik duvarından ISP yönlendiricisine bağlantı kaybı yapar. Buna ARP Zehirlenmesi ya da ARP sahtekarlığı denir.

 

Internet  117.100.100.1            82   00f6.6397.50c3  ARPA   TenGigabitEthernet1/1/0.525
Internet  117.100.100.2            32   00f6.6397.50c3  ARPA   TenGigabitEthernet1/1/0.525
Internet  117.100.100.3             4   00f6.6397.50c3  ARPA   TenGigabitEthernet1/1/0.525
Internet  117.100.100.4             3   00f6.6397.50c3  ARPA   TenGigabitEthernet1/1/0.525
Internet  117.100.100.5             3   00f6.6397.50c3  ARPA   TenGigabitEthernet1/1/0.525
Internet  117.100.100.6            73   00f6.6397.50c5  ARPA   TenGigabitEthernet1/1/0.525

3. Problem Çözümü

 

Sorunu çözmek için Cisco ASA güvenlik duvarının dış arabiriminde Proxy ARP’yi devre dışı bırakmamız gerekiyor. Proxy ARP, Cisco ASA güvenlik duvarında varsayılan olarak etkindir. Bu nedenle, devre dışı bırakmak için aşağıdaki komutu girmeliyiz.

# sysopt noproxyarp outside

Bu sorunun iç ağ içerisinde olmasını önlemek için, Proxy ARP’yi iç arayüzde de devre dışı bırakmalıyız.

# sysopt noproxyarp inside
# show runn sysopt          
sysopt noproxyarp outside
sysopt noproxyarp inside

Umarım yardımcı olur. Başka bir yazıda görüşmek üzere…

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: