Sono un po 'arrugginito con l'attacco MITM e le sue prevenzioni.
Qual è la posizione di rete corretta in cui installare arpwatch? Se lo si inserisce nel router, è possibile solo prevenire mitm host2gateway. Per prevenire MITM intra-rete (host a connessione host), è necessario posizionare un'istanza di arpwatch su ciascun nodo.
Ho ragione?
Arpwatch non preverrà attacchi MITM ma controllerà solo l'attività ARP e riguardo al MITM, il protocollo ARP non è l'unico modo per fare un MITM (es .: reindirizzamento ICMP, spoofing DNS, rubare porte, spoofing DHCP ... ).
Ma se il tuo obiettivo è quello di rilevare l'host per ospitare i tentativi di avvelenamento ARP di tutta la tua rete, sì devi posizionare un'istanza su ciascun host. Ma penso che il modo più efficace per evitare gli attacchi di spoofing ARP sia quello di utilizzare voci ARP statiche.
Per catturare le combinazioni di IP - > Indirizzi HW per ogni host, dovresti metterlo su ciascun host. (Componi diverse uscite, cioè se hai 3 host: A, B e C. Volete assicurarvi che sia A sia B abbiano lo stesso indirizzo hardware di C). Questo può essere ingombrante.
In genere, sarebbe più semplice monitorare il traffico che lascia la LAN, che è il tuo gateway.
Leggi altre domande sui tag man-in-the-middle