Dynamic ARP Inspection (DAI)
CCNP Enterprise Layer 2 Security MITM Defense
1. ARP Neden Kontrol Edilmek Zorunda?
ARP protokolü, güvenlik varsayımı olmadan tasarlanmıştır. ARP Reply paketleri, daha önce bir Request gelmiş olsun veya olmasın, istemci ve switch tarafından kabul edilir.
📌 DAI’nin varlık sebebi tam olarak budur: ARP paketlerini doğrulamak.
2. Dynamic ARP Inspection Nedir?
DAI, switch üzerinde çalışan bir güvenlik mekanizmasıdır. VLAN bazlı aktif edilir ve ARP paketlerini gerçek zamanlı olarak inceler.
- ARP paketi porta gelir
- DAI engine devreye girer
- Binding / ACL kontrolü yapılır
- Uygunsa FORWARD, değilse DROP
3. DAI’nin Dayandığı Kaynaklar
DAI kendi başına “akıllı” değildir. Aşağıdaki kaynaklardan doğrulama yapar:
- DHCP Snooping Binding Table
- Statik ARP ACL
- Trusted port tanımı
⚠️ DHCP Snooping yoksa DAI çalışmaz.
4. ARP Paketi Switch İçinde Nasıl İncelenir?
Sender IP
Sender MAC
Target IP
Ingress Interface
VLAN ID
DAI şu soruyu sorar:
“Bu IP–MAC–PORT eşleşmesi gerçekten doğru mu?”
5. Trusted vs Untrusted Port Mantığı
DAI açısından:
- Trusted port: ARP kontrol edilmez
- Untrusted port: Tüm ARP’ler doğrulanır
📌 Server, gateway ve uplink portlar trusted yapılır. Access portlar asla trusted olmaz.
6. DROP Mekanizması ve Loglama
%SW_DAI-4-DHCP_SNOOPING_DENY:
ARP packet dropped: Invalid IP-MAC binding
Drop sebepleri:
- Binding table uyumsuzluğu
- Statik IP ama ARP ACL yok
- Rate limit aşımı
7. Statik IP Kullanan Cihazlar – En Büyük Tuzak
Server’lar, firewall’lar ve network cihazları çoğu zaman statik IP kullanır.
Bu cihazlar DHCP Snooping binding table’da yer almaz. Çözüm:
arp access-list STATIC-SERVERS
permit ip host 192.168.1.10 mac host 00:11:22:33:44:55
⚠️ Bu yapılmazsa: DAI, server’ın ARP paketlerini DROP eder.
8. Rate Limit – Sessiz Kurtarıcı
ARP flood saldırılarında switch CPU’su korunmalıdır.
ip arp inspection limit rate 15
- ARP storm engellenir
- CPU spike önlenir
- False positive riski azaltılır
9. Yanlış DAI Konfigürasyonu – Gerçek Outage
Gerçek hayatta sık görülen senaryo:
- DAI açılır
- Server portu trusted yapılmaz
- Statik IP için ARP ACL yok
Sonuç:
- Server’lar gateway’i çözemiyor
- Uygulamalar timeout veriyor
- “Network var ama çalışmıyor” şikayeti
10. Enterprise DAI Konfigürasyonu
ip dhcp snooping
ip dhcp snooping vlan 10
ip arp inspection vlan 10
ip arp inspection limit rate 15
interface GigabitEthernet0/1
ip arp inspection trust
11. DHCP Snooping → DAI → IP Source Guard Zinciri
DAI tek başına yeterli değildir.
- DHCP Snooping → IP doğruluğu
- DAI → ARP doğruluğu
- IP Source Guard → Trafik doğruluğu
📌 Üçü birlikte gerçek Layer 2 güvenliği sağlar.
12. Enterprise Checklist
- DHCP Snooping aktif mi?
- Statik IP’ler için ARP ACL var mı?
- Trusted portlar minimumda mı?
- DAI logları izleniyor mu?