¿Cómo prevenir el envenenamiento ARP con hostapd e iptables?

5

Tengo una pi de frambuesa y hostapd e iptables se ejecutan en mi pi. Sin embargo, iptables no puede bloquear la comunicación entre los clientes wifi, por lo que no puedo evitar que envíen paquetes ARP con iptables. No es posible ejecutar un AP para cada cliente en mi pi, ya que solo tengo una interfaz WLAN.

¿Hay alguna manera de prevenir el envenenamiento ARP con esas herramientas? Si es imposible, ¿cómo detectarlo y averiguar el origen del ataque?

    
pregunta He WenYang 31.07.2016 - 16:34
fuente

1 respuesta

2

Puede intentar configurar un firewall de capa 2 a través de IPTables pero no veo una implementación fácil. Tal vez le gustaría echar un vistazo a ARPTables: enlace

Si desea detectar (¡no prevenir!) los ataques de suplantación de ARP, puede utilizar varias herramientas, por ejemplo, ARPWatch. Esta herramienta envía mensajes a syslog para que pueda monitorear los cambios en su tabla ARP. enlace

También existe una herramienta activa que evita los ataques de suplantación de ARP en diferentes escenarios (DCHP, estática, etc.) aunque requiere un "agente"  en cada host que puede no ser ideal dependiendo de sus necesidades:   enlace

En cualquier caso, y dado su escenario (supongo que es una pequeña red doméstica), otra solución rápida puede ser configurar manualmente la tabla ARP de su host. Para hacerlo, puede usar el comando (tenga en cuenta que después de reiniciar los cambios se perderán):

arp -s [IP address] [MAC address]

Al hacerlo, le indica a su kernel host que asocie una IP con un MAC y se ignorarán otras solicitudes que intentarán sobrescribir este valor. Para una forma más elaborada de hacer esto, puede hacer un script que agregue una lista de todos los IP-MAC de su red en los que confía y ejecutarlo en el momento del arranque para evitar posibles problemas de redes ya falsificadas.

Esto tiene una limitación si tiene un host que se mueve de la red a otro (teléfono móvil o computadora portátil) a menos que el script detecte la red exacta a la que está conectado y tenga varias listas de IP-MAC de confianza. Sin embargo, esta solución es altamente estática y difícil de mantener en entornos grandes / dinámicos.

    
respondido por el b0rt 29.08.2017 - 13:47
fuente

Lea otras preguntas en las etiquetas