In che modo proteggi esattamente contro lo spoofing ARP in LAN di grandi dimensioni?

1

Non importa quanto io google non riesco a ottenere una risposta definitiva.

  • Voci ARP statiche:

    Static ARP addresses prevent only simple attacks and do not scale on a large network, since the mapping has to be set for each pair of machines resulting in n^2-n ARP entries that have to be configured when n machines are present: On every machine there must be an ARP entry for every other machine on the network, which are n-1 ARP entries on each of the n machines. While static entries provide some security against spoofing if the operating system handles them correctly, they result in maintenance efforts as address mappings of all systems in the network have to be distributed.

  • Software di rilevamento ARP:

    This method is pretty useless. There are very few ARP detection programs out there, and the few that do exist are either free junk or over priced. In addition, to use these programs on a windows machine requires installing special drivers for your wireless cards. Recommendation: Don’t use. http://lewiscomputerhowto.blogspot.com/2014/03/perform-man-in-middle-attack-with-kali.html

Quindi, se non funzionano né il software anti-ARP né le voci statiche ARP, come proteggi lo spoofing ARP in una grande rete?

    
posta Leftover 04.06.2017 - 15:13
fonte

4 risposte

1

Prima di tutto: fatta eccezione per la disponibilità e la stabilità delle connessioni, lo spoofing ARP è solo un problema quando i livelli precedenti non implementano misure efficaci per garantire l'integrità e la riservatezza dei dati. Poiché lo spoofing ARP non è l'unico modo per eseguire un attacco MiTM, è necessario concentrarsi innanzitutto sulla sicurezza dei livelli precedenti per garantire che i dati non possano essere manomessi. (IPsec, TLS ecc.)

Inoltre, è buona norma mantenere i segmenti LAN il più piccoli possibile poiché il sovraccarico di diversi protocolli può influire sulle prestazioni e sulla stabilità complessive. Consente inoltre di ridurre la superficie di attacco isolando gli host in sottoreti e VLAN in modo che siano disponibili solo per gli host che sono obbligati a utilizzare i servizi offerti.

Una volta che hai finito con la segmentazione, potresti rivalutare se le tabelle ARP statiche sono fattibili per alcuni dei tuoi segmenti. Quindi potresti anche dare un'occhiata a 802.1x-2010 aka MACsec.

Ad ogni modo, preparati a configurare una CA. ;)

    
risposta data 04.06.2017 - 23:35
fonte
0

Non è una risposta diretta alla tua domanda, ma proverei prima ad affrontare il rischio maggiore. cioè, non cercare una soluzione n ^ 2-n - piuttosto, solo per i router e gateway.

IMHO, lo spoofing degli endpoint individuali è di gran lunga meno prezioso per qualsiasi utente malintenzionato rispetto ai gateway / router. Ciò ridurrebbe anche il peso degli endpoint di tracciamento che si muovono intorno alla LAN; e non richiederebbe l'integrazione con i server DHCP solo per compensare.

Cambierà anche il problema di rilevamento. Dovresti solo cercare il nodo con cui tutti parlano, non è uno dei tuoi gateway. Dovrebbe essere più semplice da individuare in qualsiasi visualizzazione del traffico. Rilevare m: n spoofing solo dalla visualizzazione del traffico è molto più difficile (suggerimento: un'altra applicazione per il prossimo appassionato di ML!).

    
risposta data 04.06.2017 - 15:39
fonte
0

Alcuni switch (in genere i modelli di fascia alta) supportano il concetto " VLAN privata ". Ciò consente agli host di comunicare solo con una porta uplink definita. Questo elimina il problema causato dallo spoofing ARP, dal momento che un host di spoofing di voci ARP potrebbe solo interrompere la propria connettività.

    
risposta data 04.06.2017 - 18:13
fonte
0

Quando si utilizza bind è possibile aggiungere automaticamente voci arp statiche sul server. Ciò ha causato alcuni problemi su circa il 10% dei client, che non ha rilasciato correttamente ...

on commit {   imposta ClientIP = binary-to-ascii (10, 8, ".", leased-address);   imposta ClientMac = binary-to-ascii (16, 8, ":", sottostringa (hardware, 1, 6));

execute ( "/ usr / sbin / arp", "- s", ClientIP, ClientMac); }

sulla versione {   imposta ClientIP = binary-to-ascii (10, 8, ".", leased-address);   imposta ClientMac = binary-to-ascii (16, 8, ":", sottostringa (hardware, 1, 6));

execute ( "/ usr / sbin / arp", "- d", ClientIP); }

alla scadenza {   imposta ClientIP = binary-to-ascii (10, 8, ".", leased-address);   imposta ClientMac = binary-to-ascii (16, 8, ":", sottostringa (hardware, 1, 6));

execute ( "/ usr / sbin / arp", "- d", ClientIP); }

    
risposta data 05.03.2018 - 18:51
fonte

Leggi altre domande sui tag