¿Cómo protege exactamente contra la falsificación ARP en LAN grandes?

1

No importa cuánto busque en Google, no puedo obtener una respuesta definitiva.

  • Entradas estáticas de ARP:

      

    Las direcciones ARP estáticas previenen solo ataques simples y no se escalan en una   Red grande, ya que la asignación debe establecerse para cada par de   máquinas que dan como resultado n ^ 2-n entradas ARP que deben configurarse   cuando n máquinas están presentes: en cada máquina debe haber un ARP   entrada para cada otra máquina en la red, que son n-1 ARP   Entradas en cada una de las n máquinas. Mientras que las entradas estáticas proporcionan algunos   Seguridad contra el engaño si el sistema operativo los maneja.   correctamente, dan lugar a esfuerzos de mantenimiento como asignaciones de direcciones de   todos los sistemas en la red tienen que ser distribuidos.

  • software de detección ARP:

      

    Este método es bastante inútil. Hay muy pocas detecciones de ARP   programas por ahí, y los pocos que existen son chatarra gratis o   caro Además, para utilizar estos programas en una máquina Windows.   Requiere instalar controladores especiales para sus tarjetas inalámbricas.   Recomendación: no usar.    enlace

Entonces, si ni el software anti-ARP ni las entradas estáticas de ARP funcionan, ¿cómo se protege contra la falsificación de ARP en una red grande?

    
pregunta Leftover 04.06.2017 - 15:13
fuente

4 respuestas

1

Primero que todo: a excepción de la disponibilidad y estabilidad de las conexiones, la falsificación de ARP es solo un problema cuando las capas anteriores no implementan medidas efectivas para garantizar la integridad y confidencialidad de los datos. Dado que la suplantación de ARP no es la única forma de ejecutar un ataque MiTM, primero debe concentrarse en la seguridad de las capas de arriba para asegurarse de que no se puedan manipular los datos. (IPsec, TLS, etc.)

Además, es una buena práctica mantener los segmentos de LAN lo más pequeños posible, ya que la sobrecarga de varios protocolos puede afectar el rendimiento general y la estabilidad. También le permite reducir la superficie de ataque al aislar los hosts en subredes y VLAN para que solo estén disponibles para los hosts que deben utilizar los servicios ofrecidos.

Una vez que haya terminado con la segmentación, podría volver a evaluar si las tablas ARP estáticas son factibles para algunos de sus segmentos. Entonces también puedes echar un vistazo a 802.1x-2010, también conocido como MACsec.

De todos modos, prepárate para configurar una CA. ;)

    
respondido por el Noir 04.06.2017 - 23:35
fuente
0

No es una respuesta directa a tu pregunta, pero intentaría abordar el mayor riesgo primero. es decir, no busque una solución n ^ 2-n, sino solo los enrutadores y las puertas de enlace.

En mi humilde opinión, falsificar puntos finales individuales es mucho menos valioso para cualquier atacante que las puertas de enlace / enrutadores. Eso también reduciría la carga de seguimiento de los puntos finales que se mueven alrededor de la LAN; y no requeriría integración a los servidores DHCP solo para compensar.

También cambiaría el problema de detección. Solo deberías buscar el único nodo con el que todos están hablando, ese no es uno de tus portales. Debería ser más sencillo de detectar en cualquier visualización de tráfico. La detección de m: n falsificación solo por la visualización del tráfico es mucho más difícil (cue: una aplicación más para el próximo entusiasta de ML).

    
respondido por el Sas3 04.06.2017 - 15:39
fuente
0

Algunos conmutadores (generalmente los modelos de gama alta) admiten el concepto ' VLAN privada '. Esto permite que los hosts solo se comuniquen con un puerto de enlace ascendente definido. Esto elimina el problema causado por la suplantación de ARP, ya que un host falsificando las entradas de ARP solo interrumpiría su propia conectividad.

    
respondido por el Teun Vink 04.06.2017 - 18:13
fuente
0

Al usar el enlace, puede agregar automáticamente entradas de arp estáticas en el servidor. Esto provocó algunos problemas en aproximadamente el 10% de los clientes, que no se liberaron correctamente ...

en commit {   establecer ClientIP = binary-to-ascii (10, 8, ".", dirección arrendada);   establezca ClientMac = binary-to-ascii (16, 8, ":", subcadena (hardware, 1, 6));

ejecute ("/ usr / sbin / arp", "- s", ClientIP, ClientMac); }

en el lanzamiento {   establecer ClientIP = binary-to-ascii (10, 8, ".", dirección arrendada);   establezca ClientMac = binary-to-ascii (16, 8, ":", subcadena (hardware, 1, 6));

ejecute ("/ usr / sbin / arp", "- d", ClientIP); }

al vencimiento {   establecer ClientIP = binary-to-ascii (10, 8, ".", dirección arrendada);   establezca ClientMac = binary-to-ascii (16, 8, ":", subcadena (hardware, 1, 6));

ejecute ("/ usr / sbin / arp", "- d", ClientIP); }

    
respondido por el Martin Loehnertz 05.03.2018 - 18:51
fuente

Lea otras preguntas en las etiquetas