[GTER] ARP Gratuito

Jerônimo Bezerra jab at ufba.br
Fri Feb 29 16:57:48 -03 2008 

Desculpe Nelson, fiz confusão e a "figurinha" se desmontou.. a maq2 tá 
no sw2.

Seguinte: a maq1 e a maq2 estão conectadas num mesmo switch ( não 
gerenciável ), e a maq1 faz ARP gratuito pra broadcast e dentro do 
quadro coloca como destino o IP/MAC da maq2 e origem MAC da maq1 e IP do 
router para "envenenar" a tabela ARP da maq2, fazendo-a enviar tudo 
através da maq1. Então, como entre o switch destas maquinas e o roteador 
podem haver "n" switches, fica difícil posicionar o ip-sentinel ( ainda 
estou estudando-o para entender ).  Por isso pensei em bloquear nas 
estações diretamente.

Pode me explicar melhor o ip-sentinel neste ambiente? O que ele faria no 
caso da maq1 enviar o ARP Reply sem um arp request antes?

Grato,

Jerônimo

Nelson Murilo escreveu:
> Nao sei se entendi, voce tem um arp gratuito que nao faz broadcast? 
> Ou entre a maq1 e maq2 existe um roteador? 
> De qualquer forma essa solucao, como qualquer outra do tipo, somente seria 
> viavel em num mesmo segmento, ou com alguem fazendo proxy arp. 
>
> ./nelson -murilo
>
> On Fri, Feb 29, 2008 at 09:27:04AM -0300, Jerônimo Bezerra wrote:
>   
>> Olá Nelson, obrigado pela resposta.
>>
>> Neste caso, eu tenho a seguinte situação:
>>
>> router <---> sw1 <--> sw2 <--> maq1
>>                                       |
>>                                       |
>>                                    maq2   
>>
>> a maq1 pode enviar APENAS para a maq2 ARP gratuito se passando pelo 
>> router, e neste caso este ARP gratuito não seria por broadcast e não 
>> chegaria no ip-sentinel. Como proceder neste tipo de ambiente. Se eu 
>> tivesse controle de 1 MAC por porta do switch, resolveria 99% dos casos. 
>> Mas tem hubs e switches não gerenciáveis no caminho. ( Não aceito 
>> "troque tudo por switch gerenciável" :) )
>>
>> E agora?
>>
>> Jeronimo
>>
>>
>> Nelson Murilo escreveu:
>>     
>>> Uma solucao poderia ser algo na linha do IP-Sentinel[1], no caso 
>>> de usar um servico DHCP, com a vantagem de nao ter que mexer em estacoes. 
>>>
>>> [1] - http://www.nongnu.org/ip-sentinel/
>>>
>>>
>>> <a href=¨http://naopod.com¨>./nelson -murilo</a>
>>>
>>>
>>> On Thu, Feb 28, 2008 at 03:58:22PM -0300, Jerônimo Bezerra wrote:
>>>   
>>>       
>>>> Estou estudando maneiras de bloquear ARP Gratuito na rede, e como os 
>>>> switches gerenciáveis aqui não aceitam esse controle, pensei de alguma 
>>>> maneira fazer este controle nas estações, afim de evitar spoofs.
>>>>
>>>> Baseado nas experiência de vocês, quais impactos poderia esperar ( até 
>>>> agora não ví nenhum para estação ) e como bloquear isso no Windows e no 
>>>> Linux?
>>>>
>>>> Não tenho interesse em colocar entradas estáticas de ARP, já que num 
>>>> problema de roteador eu estaria numa fria. :)
>>>>     
>>>>         
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>   
>>>       
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>     
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list