arp spoofing protection en LAN

9

Soy un administrador de red en la empresa. Leí este artículo expulso cualquier dispositivo wifi de la red con Android

Algunos de los empleadores utilizan teléfonos móviles y la red inalámbrica de la empresa. Estas empresas no están relacionadas con la informática. Por lo tanto, utilizan WIFI para navegar por la web. (No puedo darles la contraseña de WIFI, pero algunos empleados necesitan WIFI para trabajar) Por supuesto, pueden enchufar la computadora portátil en cualquier enchufe con cable disponible (sí, puedo desconectar los enchufes no utilizados en la sala de servidores).

¿Cómo puedo proteger mi red local contra la falsificación de arp? No quiero hacer una tabla de arp estática. Leí el artículo de wikipedia ARP_spoofing

¿Hay alguna manera de que pueda configurar algún software en nuestro servidor Linux y proteger toda la red o necesito realizar alguna configuración en cada computadora? También estamos usando VPN (openvpn), si eso importa.

¿Puedo eliminar las solicitudes de arp en los enrutadores WIFI? ¿O se requieren para que DHCP funcione? Las solicitudes DHCP de los enrutadores WIFI se reenvían al servidor Linux.

Uno de los que piensan con wifi es que tal vez necesito aislar wifi pública en VLAN. Para eso necesito un router wifi que admita VLAN y también un switch que admita VLAN, y la tarjeta de red de nuestro firewall de Linux también debe ser compatible con VLAN, ¿verdad?

¿Y si evito la falsificación de ARP, entonces es posible el ataque MITM?

    
pregunta Guntis 13.09.2012 - 20:36
fuente

4 respuestas

4

Le sugerimos que investigue los últimos puntos de acceso de Cisco. Yo creo Estos dispositivos son capaces de aislar cada cliente inalámbrico. unos de otros y de la red. Todo cliente el tráfico se enruta en lugar de conmutado.

Luego puedes configurar las ACL para mantener el WiFi conectado los clientes de llegar a cualquier cosa que deberían No tengo acceso a.

También la mayoría de los switches de nivel empresarial son compatibles Anti-ARP-spoofing. Los puertos se pueden configurar para permitir no más de una dirección MAC. Alternativamente las direcciones MAC pueden ser limitadas a los valores asignados por DHCP (ARP dinámico). Puertos de servidor virtual y puertos para se conecta a otros dispositivos de red haría No obtener la política restrictiva.

Si te sientes seriamente paranoico, puedes mirar en la configuración de IPSEC entre todos los críticos Sistemas en la LAN mediante certificado X509 autenticación. Esto evita todas las formas de Detección de tráfico y ataques MITM. Estar seguro para configurar una CRL (revocación de certificado lista) de modo que si alguno de los sistemas está comprometido o simplemente va al final de su vida útil y se descarta, que su certificado puede ser revocado y Nunca volví a comunicarme en la LAN.

Una advertencia: si uno de los sistemas críticos se compromete por un hacker, el hacker estará en el "interior" y todavía puede hacer Todas las cosas malas que hacen los hackers.

    
respondido por el Starlight 16.09.2012 - 06:06
fuente
3

No puede proteger una red de capa 2 de la falsificación de ARP. Y un solo punto de acceso inalámbrico consiste en una sola red inalámbrica de capa 2.

No sé si su AP inalámbrico actúa como un puente (que propugnaría la dirección MAC "original" utilizada por la tarjeta inalámbrica del cliente) o un enrutador (que se retransmitiría usando la dirección MAC del AP). Si está en modo enrutador, los clientes inalámbricos ya protegen contra la falsificación de ARP. Si está en modo puente, y un atacante conoce la dirección MAC de un usuario de LAN con cable, entonces puede eliminarla de la red.

No puede descartar solicitudes ARP sin interrumpir su red. De todos modos, no ayudaría, porque cualquier paquete de transmitido con una dirección MAC duplicada es suficiente para causar problemas.

En cuanto a aislar tu WIFI, eso es fácil. Inserte un enrutador entre el AP y el resto de la red cableada. Podría conectarlo a una LAN física o una VLAN, no necesita deshacerse de las etiquetas VLAN y la compatibilidad con tarjetas, es simplemente una red de capa 3 antigua.

    
respondido por el gowenfawr 13.09.2012 - 21:13
fuente
0

Me permito disentir: enlace

Eso es solo para Cisco, también hay programas como Arpwatch que con un poco de creatividad se pueden usar para activar los eventos para apagar los envenenadores de arp cambian los puertos.

    
respondido por el Blaise Brignac 07.10.2015 - 23:20
fuente
0

La simulación de ARP es un ataque de capa 2, por lo que usar la medida de seguridad para fortalecer la capa 2 apostará las mejores opciones para protegerse contra el ataque de suplantación de arp.

Le recomendaría usar iptables y el siguiente comando para vincular la dirección mac con la dirección IP de los dispositivos:

iptables -t nat -A PREROUTING -p tcp -m mac --mac-source XX: XX: XX: XX: XX: X -s 192.168.112.115/32 -j ACEPTAR

iptables -t nat -A POSTROUTING -p tcp -m mac --mac-source XX: XX: XX: XX: XX: X -s 192.168.112.115/32 -d 0.0.0.0/0.0. 0.0 -j MASQUERADE

iptables -t nat -A PREROUTING -j DROP

    
respondido por el Prabesh Thapa 23.08.2016 - 13:59
fuente

Lea otras preguntas en las etiquetas