↑ Retornar para CCNP

Dynamic ARP Inspection – Duvida numa questão

Home Fórum CCNP Dynamic ARP Inspection – Duvida numa questão

Este tópico contém respostas, possui 3 vozes e foi atualizado pela última vez por  Edson 4 anos, 2 meses atrás.

Visualizando 5 posts - 1 até 5 (de 5 do total)
  • Autor
    Posts
  • #48970

    lrattes
    Participante

    Pessoal,

    Estou estudando para a prova 300-115 através do certification guide 642-813.

    Agora peguei algumas questões para aferir o que estudei.

    Essa questão para mim esta incorreta a resposta, explico abaixo.

    Refer to the exhibit. Dynamic ARP inspection (DAI) is enabled on switch SW_A only. Both Host_A and Host_B acquire their IP addresses from the DHCP server connected to switch SW_A. What would the outcome be if Host_B initiated an ARP spoof attack toward Host_A?

    A. The spoof packets will be inspected at the ingress port of switch SW_A and will be permitted.
    >>>B. The spoof packets will not be inspected at the ingress port of switch SW_A and will be permitted.
    C. The spoof packets will not be inspected at the ingress port of switch SW_A and will be dropped.
    D. The spoof packets will be inspected at the ingress port of switch SW_A and will be dropped.

    resposta da questao B

    Não meu entender todos os pacotes entrantes ou ingress são inspecionados.
    A minha resposta seria a D

    0

    0
    #117069

    Edson
    Participante

    @lrattes

    A configuração da interface tem:

    interface fa0/23
    ip arp inspection trust

    Logo, nessa porta, não haverá validação.


    Interface Trust States and Network Security

    Dynamic ARP inspection associates a trust state with each interface on the switch. Packets arriving on trusted interfaces bypass all dynamic ARP inspection validation checks, and those arriving on untrusted interfaces undergo the dynamic ARP inspection validation process.

    http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3550/software/release/12-2_25_see/configuration/guide/3550SCG/swdynarp.html

    A resposta está correta.

    0

    0
    #117070

    lrattes
    Participante

    Valeu Edson. Como foi configurado ip arp inspection trust a interface é entendida como confiável.

    0

    0
    #117071

    zekkerj
    Participante

    Se eu me lembro bem dessa bagaça… a porta trusted deveria ser aquela onde o servidor DHCP oficial está espetado, não? Além disso, deveria estar ativado no segundo switch também.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #117072

    Edson
    Participante

    No DHCP Snooping, o servidor de DHCP “oficial” ou o as portas por onde virão as respostas DHCP Offer, devem estar marcadas como trusted.
    Caso contrário, as respostas não serão aceitas.

    No DAI, as portas marcadas como trusted não tem seu tráfego verificado contra as tabelas do switch, apenas as portas untrust.

    Realmente o ideial é que ambos os switches tenham os recursos habilitados e que o uplink entre eles sejam marcado como trust, porém a questão deseja justamente testar o candidato confundindo-o. Esses recursos tem relevância local, ou seja, se um switch na rede não estiver configurado, a segurança fica comprometida.

    0

    0
Visualizando 5 posts - 1 até 5 (de 5 do total)

Você deve fazer login para responder a este tópico.