ネットワークスイッチが直面するARP攻撃に対しては、セキュリティ保護処理において、一般的に以下のような保護手段が適用されます。

 

専門家によって、スイッチ接続ホスト間のネットワーク信頼関系が確立されます。信頼関系がIPアドレスやMACアドレスのみで構築されている場合、ネットワークスイッチに弱点があることを意味し、ARP攻撃のリスクが高まります。IPとMACをゲートウェイとクライアントに結びつけ、スイッチのバグを修正します。IPとMACはリンクをバインディングして、DHCP間の沖突現象を厳禁して、一旦沖突が存在したら、調停を行った後で再びバインディングしなければなりません。

 

静的なARPマッピングテーブルをスイッチ内に構築し、この部分を形成することで、元のホストがマッピングテーブルをリフレッシュする際の権限制限を克服し、ARPを比較的安定した状態で維持することができます。この処理を経て、外部のローカルエリアネットワーク情報が入り込むことは一般的に困難であり、この保護方式の運用は比較的簡単で実現は容易であるものの、セキュリティ面での制約があります。ホストが頻繁にローカルエリアの交換をする場合には、この仕様は使えません。

 

ARPをもはや使用せず、ARPを永久エントリとしてマッピングテーブル内に直接保存することは、ARP攻撃を防ぐために非常に有効ですが、ユーザの一部の利益が損なわれます。

 

ファイアウォールやネットワーク監視を設置します。

 

ネットワークスイッチのセキュリティ保護では、パスワード暗号化もセキュリティ保護の役割を果たすことができます。具体的に言えば、空白のネットワークスイッチに対してログイン権限の設定を行います。すべてのユーザーがいったんこのスイッチに介入したら、パスワードの検証を行います。入力したパスワードが正しくなければ、そのユーザーは不正アクセスの可能性があります。異常アクセスの低減に有効なものは限られていますが,パスワード暗号化では,平文暗号化+暗号文暗号化が可能です。

 

このようなセキュリティ脅威に対処するために、中継リンク保護技術を使用する場合、ネットワークスイッチ上のすべての中継インターフェースに対応する設定を行うことができます。専用のVLANだけが通過できるモードに設定し、すべての未使用ポートをオフにします。