Sicurezza contro ARPspoofing

1.) Un router deve mantenere una tabella ARP.

Ogni dispositivo che vuole trasmettere a un altro dispositivo connesso direttamente in base all'indirizzo del livello di rete deve convertirlo nell'indirizzo del livello di collegamento. Un router deve o indirizzare il pacchetto su un altro router (in questo caso deve cercare l'indirizzo del livello di collegamento dell'altro router) o su un dispositivo in una rete direttamente connessa a se stesso (in questo caso deve cercare l'indirizzo del livello di collegamento del dispositivo). Poiché il router riceve un pacchetto con un indirizzo di livello di rete di un dispositivo in una rete direttamente collegata ad esso, cerca l'indirizzo del livello di collegamento nella tabella ARP e inoltra il pacchetto di conseguenza (nei tuoi scenari direttamente o tramite l'interruttore) .

2.) Un interruttore può mantenere una tabella ARP.

Dipende dal fatto che lo switch funzioni sul livello di collegamento o sul livello di rete. Se opera esclusivamente sul livello di collegamento, conosce solo gli indirizzi del livello di collegamento. Ricorderebbe solo quale indirizzo di link layer è connesso a quale delle sue porte e inoltra i pacchetti di conseguenza.

3.) Routing dei pacchetti in arrivo da Internet tramite una combinazione di switch del router

I pacchetti che arrivano da Internet tramite la combinazione combo-router arrivano prima al router, il che sa che il pacchetto è destinato a un dispositivo collegato al tuo switch (o più precisamente per un dispositivo situato da qualche parte nel segmento di rete connesso alla porta del router a cui è collegato il tuo switch). Lo sa poiché l'indirizzo del livello di rete della destinazione è elencato nella sua tabella ARP. Quando il pacchetto arriva allo switch, saprebbe su quale delle sue porte è connesso il dispositivo per cui è destinato il pacchetto. Lo fa osservando fino a quale porta è connesso il dispositivo con l'indirizzo del livello di collegamento della destinazione.

4.) ARP spoofing

Infine, lo spoofing ARP viene compiuto impersonando qualcuno facendo credere agli altri che l'indirizzo di rete del tuo target debba essere mappato all'indirizzo del tuo link layer anziché all'indirizzo target link layer, cioè manipolando le tabelle ARP di altri dispositivi. In entrambi i casi è possibile lo spoofing ARP sulla rete locale. Ciò è dovuto al fatto che è possibile manipolare le tabelle ARP sui dispositivi collegati allo switch / router. Lo switch / router avrebbe quindi ricevuto i pacchetti già con l'indirizzo di livello link errato impostato e li avrebbe inoltrati solo al posto della destinazione desiderata.

Un metodo semplice e molto flessibile per proteggere la rete da accessi non autorizzati è quello di cambiare la sicurezza della porta. Per disabilitare o arrestare le porte dello switch non utilizzate, accedere a ciascuna porta inutilizzata ed emettere il comando shutdown. Se la porta deve essere riattivata, può essere abilitata con il comando no shutdown. t è semplice apportare modifiche di configurazione a più porte su uno switch. Se è necessario configurare un intervallo di porte, utilizzare il comando dell'intervallo dell'interfaccia. Puoi controllare come funziona qui . Switch (config) # interface range tipo module / first-number - last-number

Sebbene il processo di abilitazione e disabilitazione richieda molto tempo ma migliora la sicurezza della rete.

Esistono alcuni meccanismi di sicurezza contro lo spoofing dell'arp. A livello di dispositivo, hai software per windows / linux / android. Ad esempio "arp guard" per Android o "arptables" per linux, ecc. A livello di switch, ci sono alcuni switch avanzati (CISCO) che hanno una funzionalità chiamata "port security", ma questo tipo di switch sono più costosi. Puoi controllare come funziona qui .

Se il tuo switch è un livello 2 dell'interruttore standard del modello OSI (data-link), non comprende ips, true, e non avrà un proprio IP perché non è un interruttore configurabile e può essere intossicato come vittima diretta. Ma tutti gli switch hanno una memoria cache per archivare i mac arp. Memorizzano quali porte hanno quali indirizzi arp ... quindi una vittima può essere avvelenata tramite ARP perché non gli interessa.

Prende solo i pacchetti, guarda quale è l'indirizzo del destino arp e il lancio solo attraverso quella porta per evitare il "vecchio comportamento dell'hub" su cui tutti i pacchetti viaggiano attraverso tutte le porte causando molte collisioni e permettendo agli hacker di annusare su qualsiasi porta tutta la rete.

In ogni caso, ci sono più tipi di attacchi che possono essere fatti agli switch. Se il tuo switch è CISCO e ha una tabella CAM (Content Addressable Memory) dinamica a dimensione fissa, può essere attaccato in altro modo, flooding MAC. La tabella CAM memorizza informazioni come gli indirizzi MAC disponibili sulle porte fisiche con i relativi parametri VLAN associati. Gli hacker possono utilizzare alcuni strumenti (come Macof) per creare richieste con mac generati casualmente per riempire tutta la tabella, perché cosa succede quando la tabella CAM è piena? entra in modalità di apertura fallita. In questo stato, l'interruttore modifica il suo comportamento e inizia a trasmettere ogni pacchetto su ogni porta che agisce come un vecchio hub. Bello per sniffare.

Ovviamente, puoi anche provare a rilevare questa configurazione delle trap SNMP sugli switch per avere avvisi e quel tipo di cose.