Vorrei migliorare la sicurezza wireless e alcuni altri scenari di sicurezza on-net con una voce di tabella ARP permanente. L'idea è che qualcuno nella stessa sottorete o rete WiFi avrà un momento più difficile spoofing del mio access point.
Quali client supportano / non supportano la funzionalità di una voce ARP permanente?
Come posso centralizzare la configurazione, la distribuzione e gli aggiornamenti di questa configurazione?
Le voci ARP "statiche" sono quelle più comunemente utilizzate di "Permanente"; dovresti saperlo se usi Google e simili.
Le voci ARP statiche forniscono protezione contro l'avvelenamento / spoofing di ARP. Tuttavia, qualcuno in grado di eseguire lo spoofing ARP può anche eseguire lo spoofing MAC per ottenere quasi lo stesso effetto e superare l'ostacolo presentato da una voce ARP statica. Questo riduce il valore relativo di mettere questa protezione in posizione.
Sotto Windows e Unix, le voci statiche dell'arp sono configurate usando lo strumento da riga di comando 'arp' che viene spesso chiamato da uno script, come sottolinea @chris. Non troverai un meccanismo di gestione distribuito facile come, ad esempio, Criteri di gruppo per farlo per te. A meno che tu non abbia già uno strumento per la configurazione centralizzata (puppet, cfengine, BladeLogic), sei bloccato con il lavoro manuale, un'altra ragione per cui questa protezione non è così attraente come potrebbe piacerti.
A mio parere, le voci ARP statiche rappresentano una fase di sicurezza di basso livello che presenta vantaggi limitati, la cui gestione è problematica e il cui superamento del funzionamento di una rete dinamica si trasformerà e morderà nel MAC in alcuni casi punto. Ci sono posti migliori dove passare il tuo tempo e le tue energie.
Le tabelle ARP si trovano nella RAM di un dispositivo e quindi non sono mai permanenti.
Tuttavia, è possibile aggiungerli in fase di runtime e disporre di uno script che li aggiunge nuovamente al riavvio del dispositivo. Su Linux, lo strumento "arp" può essere usato per aggiungere voci statiche (arp -s). Ad esempio, è possibile incorporare il comando arp in uno script /etc/network/if-pre-up.d/arp su sistemi basati su debian. Come aggiungere comandi che vengono eseguiti durante l'avvio, è diverso su piattaforme diverse.
Non esiste un oggetto GP che possa gestire la cache ARP permanente. Per Windows XP, possiamo usare uno script di accesso che potrebbe aggiungere la voce ARP.
Tuttavia, in Windows 7 e 2008, solo l'autorizzazione dell'amministratore potrebbe aggiungere la voce ARP in modo che non ci sia alcun modo per soddisfare il requisito.
Il comando per aggiungere una voce ARP permanente è
ARP -s inet_addr eth_addr [if_addr]
Leggi altre domande sui tag routing wifi network insider-threats threat-mitigation