Quali dispositivi supportano l'aggiunta permanente di una voce della tabella ARP? Quali strumenti sono disponibili per gestire questo?

1

Vorrei migliorare la sicurezza wireless e alcuni altri scenari di sicurezza on-net con una voce di tabella ARP permanente. L'idea è che qualcuno nella stessa sottorete o rete WiFi avrà un momento più difficile spoofing del mio access point.

Quali client supportano / non supportano la funzionalità di una voce ARP permanente?

Come posso centralizzare la configurazione, la distribuzione e gli aggiornamenti di questa configurazione?

    
posta random65537 01.10.2011 - 02:06
fonte

3 risposte

6

Le voci ARP "statiche" sono quelle più comunemente utilizzate di "Permanente"; dovresti saperlo se usi Google e simili.

Le voci ARP statiche forniscono protezione contro l'avvelenamento / spoofing di ARP. Tuttavia, qualcuno in grado di eseguire lo spoofing ARP può anche eseguire lo spoofing MAC per ottenere quasi lo stesso effetto e superare l'ostacolo presentato da una voce ARP statica. Questo riduce il valore relativo di mettere questa protezione in posizione.

Sotto Windows e Unix, le voci statiche dell'arp sono configurate usando lo strumento da riga di comando 'arp' che viene spesso chiamato da uno script, come sottolinea @chris. Non troverai un meccanismo di gestione distribuito facile come, ad esempio, Criteri di gruppo per farlo per te. A meno che tu non abbia già uno strumento per la configurazione centralizzata (puppet, cfengine, BladeLogic), sei bloccato con il lavoro manuale, un'altra ragione per cui questa protezione non è così attraente come potrebbe piacerti.

A mio parere, le voci ARP statiche rappresentano una fase di sicurezza di basso livello che presenta vantaggi limitati, la cui gestione è problematica e il cui superamento del funzionamento di una rete dinamica si trasformerà e morderà nel MAC in alcuni casi punto. Ci sono posti migliori dove passare il tuo tempo e le tue energie.

    
risposta data 01.10.2011 - 16:11
fonte
2

Le tabelle ARP si trovano nella RAM di un dispositivo e quindi non sono mai permanenti.

Tuttavia, è possibile aggiungerli in fase di runtime e disporre di uno script che li aggiunge nuovamente al riavvio del dispositivo. Su Linux, lo strumento "arp" può essere usato per aggiungere voci statiche (arp -s). Ad esempio, è possibile incorporare il comando arp in uno script /etc/network/if-pre-up.d/arp su sistemi basati su debian. Come aggiungere comandi che vengono eseguiti durante l'avvio, è diverso su piattaforme diverse.

    
risposta data 01.10.2011 - 13:19
fonte
0

Non esiste un oggetto GP che possa gestire la cache ARP permanente. Per Windows XP, possiamo usare uno script di accesso che potrebbe aggiungere la voce ARP.

Tuttavia, in Windows 7 e 2008, solo l'autorizzazione dell'amministratore potrebbe aggiungere la voce ARP in modo che non ci sia alcun modo per soddisfare il requisito.

Il comando per aggiungere una voce ARP permanente è

ARP -s inet_addr eth_addr [if_addr]
    
risposta data 01.10.2011 - 16:12
fonte

Leggi altre domande sui tag