Me gustaría mejorar la seguridad inalámbrica y algunos otros escenarios de seguridad en la red con una entrada de tabla ARP permanente. La idea es que alguien en la misma subred o red WiFi tendrá más dificultades para falsificar mi punto de acceso.
¿Qué clientes admiten / no admiten la función de una entrada ARP permanente?
¿Cómo puedo centralizar la configuración, la implementación y las actualizaciones de esta configuración?
Las entradas ARP "estáticas" son el término más comúnmente usado que "Permanente"; deberías saber esto si estás buscando en Google y similares.
Las entradas estáticas de ARP brindan protección contra la intoxicación / suplantación de ARP. Sin embargo, alguien en condiciones de realizar la suplantación de ARP también puede realizar la simulación de MAC para lograr el mismo efecto y superar el obstáculo que presenta una entrada de ARP estática. Esto reduce el valor relativo de poner esta protección en su lugar.
Tanto en Windows como en Unix, las entradas de arp estáticas se configuran utilizando la herramienta de línea de comandos 'arp', que a menudo se llama desde un script, como señala @chris. No encontrará un mecanismo de administración distribuido fácil como, por ejemplo, la Política de grupo para hacerlo por usted. A menos que ya haya instalado una herramienta para la configuración centralizada (títere, cfengine, BladeLogic), no puede realizar el trabajo manual, otra razón por la que esta protección no es tan atractiva como le gustaría a uno.
En mi opinión, las entradas de ARP estáticas son un paso de seguridad de bajo nivel que tiene ventajas limitadas, cuya administración es problemática y cuya superación de la forma en que funciona una red dinámica cambiará y lo morderá en el MAC en algún momento punto. Hay mejores lugares para gastar su tiempo y energía.
Las tablas ARP están en la memoria RAM de un dispositivo y, por lo tanto, nunca son permanentes.
Sin embargo, puede agregarlos en tiempo de ejecución y tener un script que los agregue nuevamente cuando se reinicie el dispositivo. En Linux, la herramienta "arp" se puede usar para agregar entradas estáticas (arp -s). Puede incorporar el comando arp en un script /etc/network/if-pre-up.d/arp en sistemas basados en Debian, por ejemplo. La forma de agregar comandos que se ejecutan durante el inicio es diferente en diferentes plataformas.
No hay un objeto GP que pueda administrar el caché ARP permanente. Para Windows XP, podemos usar un script de inicio de sesión que podría agregar la entrada ARP.
Sin embargo, en Windows 7 y 2008, solo el permiso del administrador podría agregar la entrada ARP para que no haya ninguna forma de cumplir el requisito.
El comando para agregar una entrada ARP permanente es
ARP -s inet_addr eth_addr [if_addr]
Lea otras preguntas en las etiquetas network wifi insider-threats threat-mitigation routing