web-dev-qa-db-ja.com

LANでのarpスプーフィング保護

私は会社のネットワーク管理者です。私はこの記事を読みました Androidのネットワークから任意のwifiデバイスを取り出します

雇用主の中には、携帯電話や会社の無線ネットワークを利用している人もいます。これらの雇用主はITとは関係ありません。したがって、彼らはウェブを閲覧するためにWIFIを使用しています。 (私は彼らにWIFIパスワードを与えることはできませんが、一部の従業員は仕事のためにWIFIを必要とします)もちろん、彼らはラップトップを利用可能な有線ソケットに差し込むことができます(はい、私はサーバールームで未使用のソケットを抜くことができます)。

ローカルネットワークをARPスプーフィングから保護するにはどうすればよいですか?静的なarpテーブルを作りたくありません。 ウィキペディアの記事ARP_spoofingを読みます

Linuxサーバーにいくつかのソフトウェアをセットアップしてネットワーク全体を保護する方法、または各コンピューターでいくつかの構成を行う必要がある方法はありますか?また、必要に応じてVPN(openvpn)を使用しています。

WIFIルーターでARPリクエストをドロップできますか?または、DHCPが機能するために必要ですか? WIFIルーターからのDHCP要求はLinuxサーバーに転送されます。

Wifiについて考える1つは、VLANでパブリックwifiを分離する必要があるということですか?そのためには、VLANをサポートするwifiルーターが必要です。また、VLANをサポートするスイッチも必要です。また、LinuxファイアウォールのネットワークカードもVLANをサポートする必要があります。

そして、ARPスプーフィングを防ぐと、MITM攻撃が可能になりますか?

man-in-the-middlearp-spoofing
9
Guntis

最新のCisco APを調査することをお勧めします。これらのデバイスは、各ワイヤレスクライアントを相互およびネットワークから分離できると思います。すべてのクライアントトラフィックは、スイッチングされる代わりにルーティングされます。

次に、ACLをセットアップして、WiFi接続されたクライアントがアクセスしてはならないものに到達しないようにします。

また、ほとんどのエンタープライズグレードのスイッチは、アンチARPスプーフィングをサポートしています。ポートは、1つのMACアドレスのみを許可するように構成できます。または、MACアドレスをDHCP割り当て値(動的ARP)に制限することもできます。仮想サーバーポートおよび他のネットワークデバイスへの相互接続用のポートは、制限的なポリシーを取得しません。

深刻な偏執狂を感じている場合は、X509証明書認証を使用して、LAN上のすべての重要なシステム間でIPSECを構成することを検討してください。これにより、すべての形式のトラフィックスニッフィングとMITM攻撃が防止されます。 CRL(証明書失効リスト)を設定して、いずれかのシステムが危険にさらされた場合や、システムが単に寿命を迎えて廃棄された場合に、その証明書を失効させてLANでの通信に再び使用しないようにします。

注意点の1つ:重要なシステムの1つがハッカーによって危険にさらされた場合、ハッカーは「内部」にいて、ハッカーが行うすべての悪いことを実行できます。

4
Starlight

レイヤー2ネットワークをARPスプーフィングから保護することはできません。また、単一のワイヤレスAPは、単一のワイヤレスレイヤー2ネットワークで構成されています。

ワイヤレスAPがブリッジ(クライアントのワイヤレスカードで使用される「元の」MACアドレスを伝搬する)として機能するのか、ルーター(APのMACアドレスを使用して再送信する)として機能するのかはわかりません。ルーターモードの場合、有線クライアントはワイヤレスクライアントによるARPスプーフィングから既に保護されています。ブリッジモードで、攻撃者が有線LANユーザーのMACアドレスを知っている場合、攻撃者はそれをネットワークから切り離すことができます。

ネットワークを切断せずにARP要求をドロップすることはできません。 any重複したMACアドレスで送信されたパケットは問題を引き起こすのに十分であるため、とにかくそれは助けにはなりません。

あなたのWIFIを分離することに関しては、それは簡単です。 APとその他の有線ネットワークの間にルーターを固定します。物理LANまたはVLANに接続できます。VLANタグ付けとカードのサポートに煩わされる必要はありません。これは、単に古いレイヤー3ネットワークです。

3
gowenfawr

ARPスプーフィングはレイヤー2攻撃であるため、セキュリティ対策を使用してレイヤー2を強化することで、arpスプーフィング攻撃から保護するためのより良いオプションを選択できます。

Iptablesを使用し、次のコマンドを使用して、MACアドレスをデバイスのIPアドレスにバインドすることをお勧めします。

iptables -t nat -A PREROUTING -p tcp -m mac --mac-source XX:XX:XX:XX:XX:X -s 192.168.112.115/32 -j ACCEPT

iptables -t nat -A POSTROUTING -p tcp -m mac --mac-source XX:XX:XX:XX:XX:X -s 192.168.112.115/32 -d 0.0.0.0/0.0.0.0- jマスカレード

iptables -t nat -A PREROUTING -j DROP

0
Prabesh Thapa