arp spoofing protection on LAN

9

Sono un amministratore di rete in azienda. Ho letto questo articolo espellere qualsiasi dispositivo wifi dalla rete con Android

Alcuni datori di lavoro utilizzano i telefoni cellulari e la rete wireless dell'azienda. Questi datori di lavoro non sono legati all'IT. Quindi, usano WIFI per navigare in Internet. (non posso dargli la password WIFI, ma alcuni dipendenti hanno bisogno di WIFI per lavoro) Ovviamente, possono collegare il laptop in qualsiasi presa cablata disponibile (sì, posso scollegare i socket inutilizzati nella stanza del server).

Come posso proteggere la mia rete locale dallo spoofing di arp? Non voglio creare tabelle arp statiche. Ho letto l'articolo di wikipedia ARP_spoofing

C'è un modo, che posso installare un po 'di software sul nostro server linux e proteggere l'intera rete o ho bisogno di fare qualche configurazione su ogni computer? Inoltre stiamo usando VPN (openvpn), se questo è importante.

Posso eliminare richieste arp nei router WIFI? Oppure sono necessari per il funzionamento di DHCP? Le richieste DHCP da router WIFI sono inoltrate al server linux.

Un pensiero con wifi è che forse ho bisogno di isolare il wifi pubblico in VLAN? Per questo ho bisogno di un router wifi che supporti la VLAN e che cambi anche quella VLAN di supporto, e anche la nostra scheda di rete del firewall linux deve supportare la VLAN, giusto?

E se prevengo lo spoofing ARP, allora l'attacco MITM è possibile?

    
posta Guntis 13.09.2012 - 20:36
fonte

4 risposte

4

Suggerisco di ricercare gli ultimi AP Cisco. Credo questi dispositivi sono in grado di isolare ogni client wireless l'uno dall'altro e dalla rete. Tutti i clienti il traffico viene instradato anziché acceso.

Puoi quindi configurare gli ACL per mantenere il WiFi connesso i clienti da raggiungere qualsiasi cosa dovrebbero non ho accesso a

Anche la maggior parte degli switch di livello enterprise supportano anti-ARP-spoofing. Le porte possono essere configurate per non consentire più di un indirizzo MAC. In alternativa gli indirizzi MAC possono essere limitati a valori assegnati DHCP (ARP dinamico). Porte e porte del server virtuale per si connette ad altri dispositivi di rete non ottenere la politica restrittiva.

Se ti senti seriamente paranoico, potresti guardare nella configurazione di IPSEC tra tutti i critici sistemi sulla LAN usando il certificato X509 autenticazione. Ciò impedisce tutte le forme di traffico sniffing e attacchi MITM. Essere sicuro per configurare un CRL (revoca del certificato lista) in modo che se un solo sistema è compromesso o semplicemente finisce alla fine della vita e viene scartato, che il certificato può essere revocato e mai usato per comunicare di nuovo sulla LAN.

Un avvertimento: se uno dei sistemi critici viene compromesso da un hacker, l'hacker sarà sul "dentro" e può ancora fare tutte le cose brutte che gli hacker fanno.

    
risposta data 16.09.2012 - 06:06
fonte
3

Non puoi proteggere una rete di livello 2 dallo spoofing ARP. E un singolo punto di accesso wireless è costituito da una singola rete wireless layer-2.

Non so se il tuo AP wireless funga da bridge (che propaga l'indirizzo MAC "originale" utilizzato dalla scheda wireless del client) o un router (che ritrasmetterebbe utilizzando l'indirizzo MAC dell'AP). Se è in modalità router, i client cablati sono già protetti dallo spoofing ARP da parte dei client wireless. Se è in modalità bridge e un utente malintenzionato conosce l'indirizzo MAC di un utente LAN cablato, può farlo fuori dalla rete.

Non puoi eliminare le richieste ARP senza rompere la tua rete. Non sarebbe d'aiuto, comunque, perché qualsiasi pacchetto trasmesso con un indirizzo MAC duplicato è sufficiente a causare problemi.

Per quanto riguarda l'isolamento del tuo WIFI, è facile. Attaccare un router tra l'AP e il resto della rete cablata. È possibile collegarlo a una LAN fisica o VLAN, non è necessario utilizzare il tagging VLAN e il supporto per le schede, è semplicemente una vecchia rete di livello 3.

    
risposta data 13.09.2012 - 21:13
fonte
0

Mi permetto di dissentire: link

Questo è solo per Cisco, ci sono anche programmi come Arpwatch che con un po 'di creatività possono essere usati per innescare gli eventi per arrestare gli avvelenatori arp commutano le porte.

    
risposta data 07.10.2015 - 23:20
fonte
0

Lo spoofing ARP è l'attacco di livello 2, quindi usando la misura di sicurezza per indurire il livello 2 scommetterai le migliori opzioni per proteggere contro l'attacco di spoofing arp.

Ti consiglio di usare iptables e usare il seguente comando per associare l'indirizzo mac con l'indirizzo IP dei dispositivi:

iptables -t nat -A PREROUTING -p tcp -m mac --mac-source XX: XX: XX: XX: XX: X -s 192.168.112.115/32 -j ACCEPT

iptables -t nat -A POSTROUTING -p tcp -m mac --mac-source XX: XX: XX: XX: XX: X -s 192.168.112.115/32 -d 0.0.0.0/0.0. 0.0 -j MASQUERADE

iptables -t nat -A PREROUTING -j DROP

    
risposta data 23.08.2016 - 13:59
fonte

Leggi altre domande sui tag