Estoy un poco oxidado con el ataque MITM y sus prevenciones.
¿Dónde está la posición de red correcta donde instalar arpwatch? Si lo coloca en el enrutador, solo puede evitar el host2gateway mitm. Para evitar MITM (conexión de host a host) dentro de la red, debe colocar una instancia de arpwatch en cada nodo.
¿Tengo razón?
Arpwatch no evitará los ataques MITM, sino que solo supervisará la actividad de ARP y, en relación con MITM, el protocolo ARP no es la única forma de realizar un MITM (p. ej .: redirección de ICMP, falsificación de DNS, robo de puertos, falsificación de DHCP ... ).
Pero si su objetivo es detectar los intentos de envenenamiento ARP de host a host de toda su red, sí, debe colocar una instancia en cada host. Pero creo que la forma más eficaz de evitar los ataques de suplantación de ARP es utilizar entradas de ARP estáticas.
Para capturar las combinaciones de IP - > Las direcciones HW para cada host, tendrías que ponerlas en cada host. (Y sume diferentes salidas; es decir, si tiene 3 hosts: A, B y C. Desea asegurarse de que tanto A como B tengan la misma dirección de hardware de C). Esto puede ser engorroso.
Sin embargo, por lo general, sería más fácil monitorear el tráfico que sale de la LAN, que es a través de su puerta de enlace.
Lea otras preguntas en las etiquetas man-in-the-middle