web-dev-qa-db-ja.com

大規模なLANでのARPスプーフィングからどのように正確に保護しますか?

どれだけグーグルしても、確実な答えは得られません。

  • 静的ARPエントリ:

    静的ARPアドレスは単純な攻撃のみを防ぎ、大規模ネットワークではスケーリングしません。これは、マシンのペアごとにマッピングを設定する必要があるため、n台のマシンが存在する場合にn ^ 2-n ARPエントリを構成する必要があるためです。 machineネットワーク上の他のすべてのマシンのARPエントリが必要です。これは、n台のマシンそれぞれのn-1 ARPエントリです。静的エントリは、オペレーティングシステムがそれらを正しく処理する場合、なりすましに対するある程度のセキュリティを提供しますが、ネットワーク内のすべてのシステムのアドレスマッピングを配布する必要があるため、保守作業が発生します。

  • ARP検出ソフトウェア:

    この方法はほとんど役に立ちません。 ARP検出プログラムはごくわずかで、存在するものは無料のジャンクであるか、高額です。さらに、Windowsマシンでこれらのプログラムを使用するには、ワイヤレスカード用の特別なドライバーをインストールする必要があります。推奨事項:使用しないでください。 http://lewiscomputerhowto.blogspot.com/2014/03/perform-man-in-middle-attack-with-kali.html

では、ARP対策ソフトウェアもスタティックARPエントリも機能しない場合、大規模ネットワークでのARPスプーフィングからどのように保護しますか?

arp-spoofinglan
2
Leftover

まず、接続の可用性と安定性を除いて、ARPスプーフィングが問題になるのは、データの整合性と機密性を確保するための効果的な対策を上層が実装していない場合のみです。 ARPスプーフィングはMiTM攻撃を実行する唯一の方法ではないため、最初に上の層のセキュリティに焦点を当てて、データが改ざんされないようにする必要があります。 (IPsec、TLSなど)

さらに、複数のプロトコルのオーバーヘッドが全体的なパフォーマンスと安定性に影響を与える可能性があるため、LANセグメントをできるだけ小さくすることをお勧めします。また、ホストをサブネットとVLANに分離して、提供されたサービスを使用する必要があるホストだけがホストを利用できるようにすることで、攻撃の対象を減らすこともできます。

セグメンテーションが完了したら、一部のセグメントで静的ARPテーブルが実現可能かどうかを再評価できます。次に、802.1x-2010別名MACsecも確認できます。

とにかく、独自のCAをセットアップする準備をします。 ;)

1
Noir

Bindを使用すると、静的なarpエントリをサーバーに自動的に追加できます。これにより、クライアントの約10%でいくつかの問題が発生し、正しく解放されませんでした...

コミット時{set ClientIP = binary-to-ascii(10、8、 "。"、leased-address); set ClientMac = binary-to-ascii(16、8、 ":"、substring(hardware、1、6));

execute( "/ usr/sbin/arp"、 "-s"、ClientIP、ClientMac); }

リリース時{set ClientIP = binary-to-ascii(10、8、 "。"、leased-address); set ClientMac = binary-to-ascii(16、8、 ":"、substring(hardware、1、6));

execute( "/ usr/sbin/arp"、 "-d"、ClientIP); }

on expiry {set ClientIP = binary-to-ascii(10、8、 "。"、leased-address); set ClientMac = binary-to-ascii(16、8、 ":"、substring(hardware、1、6));

execute( "/ usr/sbin/arp"、 "-d"、ClientIP); }

0
Martin Loehnertz

あなたの質問への直接の答えではありませんが、私は最初に最大のリスクに取り組みたいと思います。つまり、n ^ 2-nソリューションを探すのではなく、ルーターとゲートウェイだけを探します。

私見、個々のエンドポイントをスプーフィングすることは、ゲートウェイ/ルーターよりも攻撃者にとってはるかに価値がありません。これにより、LAN内を移動するエンドポイントを追跡する負担も軽減されます。補償するためだけにDHCPサーバーに統合する必要はありません。

また、検出の問題も変化します。誰もが話している1つのノードを探すだけでよく、それはゲートウェイの1つではありません。トラフィックの視覚化で見つけるには、より単純なものでなければなりません。トラフィックの視覚化のみからのm:nスプーフィングの検出は、はるかに困難です(手がかり:次のML愛好家のためのもう1つのアプリケーション!)。

0
Sas3

一部のスイッチ(通常はハイエンドモデル)は、「 プライベートVLAN 」の概念をサポートしています。これにより、ホストは定義されたアップリンクポートとのみ通信できます。これにより、ARPスプーフィングによって引き起こされる問題が解消されます。これは、ホストスプーフィングARPエントリが自身の接続を破壊する可能性があるためです。

0
Teun Vink