Lo spoofing ARP funziona su * tutte * LAN?

7

Capisco come funziona lo spoofing ARP su una rete commutata: l'attaccante dice al router che è la vittima, quindi dice alla vittima che è il router. La mia domanda è: su reti di grandi dimensioni, come reti aziendali e universitarie, è ancora così semplice? Presumo che ci sarebbe più di un router, ecc ... che tipo di misure possono prendere le reti a livello aziendale per proteggersi dagli attacchi di spoofing ARP?

    
posta Elliot Gorokhovsky 13.08.2016 - 01:11
fonte

2 risposte

6

Dipende dalla classe dello switch, ad esempio:

  • I router e router domestici WiFi hanno isolamento LAN, tuttavia questo di solito è disabilitato di default
  • Gli switch di classe campus Layer 2/3 di solito hanno il filtro ARP, ma se non è abilitato puoi spoofare l'indirizzo MAC o IP da diverse VLAN (puoi utilizzare lo stesso MAC o uno diverso per qualsiasi indirizzo IP). Quello che intendo è quello implementato nel gateway Layer 3.
  • Alcuni nuovi switch di tipo campus (a partire dal 2016) hanno anche il built-in di LAN Isolation, tuttavia non è abilitato di default, il che aiuta con lo spoofing ARP
  • Alcune reti richiedono l'autenticazione IEEE 802.1X per connettersi alla porta, di solito devono essere utilizzate le apparecchiature aziendali e non quelle private. Questo molto spesso impedisce lo spoofing ARP ma non sempre, dipende da come viene usato, a volte è facile da sconfiggere.
  • Alcune reti hanno MAC learning e non permettono lo spoofing (ad esempio consentono solo MAC specifici su una singola porta), questo è abbastanza raro ma esistente. Quindi funziona monitorando gli switch e bloccando gli attaccanti.
  • Alcune reti potrebbero richiedere di fornire il MAC configurato per la porta, e in questo modo può anche impedire di inviare richieste / risposte ARP dannose
  • A seconda del fornitore di switch, potrebbero esserci altre funzionalità che aiutano lo spoofing ARP, solitamente allo switch Layer 2 come Dynamic ARP Inspection.
  • È abbastanza facile impostare la politica degli switch in modo che ogni porta del cliente possa scambiare pacchetti solo con la porta del router senza la necessità della funzionalità di isolamento LAN, tuttavia non molti lo fanno
risposta data 13.08.2016 - 03:16
fonte
4

Lo spoofing ARP è facile da rilevare. Se un router vede un pacchetto di annunci ARP per un indirizzo IP che conosce già associato a una porta o un indirizzo MAC diversi, può bloccarlo, arrestare la porta da cui proviene il pacchetto o intraprendere altre azioni appropriate. Qualsiasi ID decente raccoglierà un attacco di spoofing ARP. Detto questo, trovo che sia abbastanza raro che anche le reti aziendali si preoccupino di avere questo tipo di protezione.

(Naturalmente, se usi semplicemente IPSec o TLS per tutto ciò che dovresti, non c'è nessun problema qui, giusto?)

    
risposta data 13.08.2016 - 02:38
fonte

Leggi altre domande sui tag