[GTER] ARP Gratuito

Igor Giangrossi igiangrossi at yahoo.com
Fri Feb 29 18:40:08 -03 2008 

Jerônimo,
O melhor jeito de se bloquear este tipo de ataque em switches mais básicos é colocar as entradas de ARP estáticas. Sobre o caso da falha nos roteadores, você usa redundância com VRRP/HSRP? Ou tem redundância de links L2 com Spanning Tree (não apareceu no seu diagrama...)?

Existem algumas técnicas que controlam isso de forma automática, inclusive para os casos com estações recebendo endereços via DHCP. Isto é feito através de DHCP Snooping e Dynamic ARP Inspection, e por exemplo a maioria dos switches Cisco o fazem. 

Mas como você quer usar o que já tem mesmo, a não ser que insira outros elementos na rede para fazê-lo, as entradas estáticas são a solução mais simples e mais efetiva. Você pode por exemplo colocar as entradas estáticas dos routers e máquinas principais nos hosts, e colocar entradas estáticas na tabela MAC dos switches (caso não haja redundância). Mas como toda solução estática, ela não é muito amigável a mudanças... :-)

[]s
Igor

----- Original Message ----
From: Jerônimo Bezerra <jab at ufba.br>
To: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Sent: Friday, February 29, 2008 4:57:48 PM
Subject: Re: [GTER] ARP Gratuito

 Desculpe  Nelson,  fiz  confusão  e  a  "figurinha"  se  desmontou..  a  maq2  tá 
no  sw2.

Seguinte:  a  maq1  e  a  maq2  estão  conectadas  num  mesmo  switch  (  não 
gerenciável  ),  e  a  maq1  faz  ARP  gratuito  pra  broadcast  e  dentro  do 
quadro  coloca  como  destino  o  IP/MAC  da  maq2  e  origem  MAC  da  maq1  e  IP  do 
router  para  "envenenar"  a  tabela  ARP  da  maq2,  fazendo-a  enviar  tudo 
através  da  maq1.  Então,  como  entre  o  switch  destas  maquinas  e  o  roteador 
podem  haver  "n"  switches,  fica  difícil  posicionar  o  ip-sentinel  (  ainda 
estou  estudando-o  para  entender  ).   Por  isso  pensei  em  bloquear  nas 
estações  diretamente.

Pode  me  explicar  melhor  o  ip-sentinel  neste  ambiente?  O  que  ele  faria  no 
caso  da  maq1  enviar  o  ARP  Reply  sem  um  arp  request  antes?

Grato,

Jerônimo

Nelson  Murilo  escreveu:
>  Nao  sei  se  entendi,  voce  tem  um  arp  gratuito  que  nao  faz  broadcast? 
>  Ou  entre  a  maq1  e  maq2  existe  um  roteador? 
>  De  qualquer  forma  essa  solucao,  como  qualquer  outra  do  tipo,  somente  seria 
>  viavel  em  num  mesmo  segmento,  ou  com  alguem  fazendo  proxy  arp. 
>
>  ./nelson  -murilo
>
>  On  Fri,  Feb  29,  2008  at  09:27:04AM  -0300,  Jerônimo  Bezerra  wrote:
>    
>>  Olá  Nelson,  obrigado  pela  resposta.
>>
>>  Neste  caso,  eu  tenho  a  seguinte  situação:
>>
>>  router  <--->  sw1  <-->  sw2  <-->  maq1
>>                                                           |
>>                                                           |
>>                                                      maq2    
>>
>>  a  maq1  pode  enviar  APENAS  para  a  maq2  ARP  gratuito  se  passando  pelo 
>>  router,  e  neste  caso  este  ARP  gratuito  não  seria  por  broadcast  e  não 
>>  chegaria  no  ip-sentinel.  Como  proceder  neste  tipo  de  ambiente.  Se  eu 
>>  tivesse  controle  de  1  MAC  por  porta  do  switch,  resolveria  99%  dos  casos. 
>>  Mas  tem  hubs  e  switches  não  gerenciáveis  no  caminho.  (  Não  aceito 
>>  "troque  tudo  por  switch  gerenciável"  :)  )
>>
>>  E  agora?
>>
>>  Jeronimo
>>
>>
>>  Nelson  Murilo  escreveu:
>>       
>>>  Uma  solucao  poderia  ser  algo  na  linha  do  IP-Sentinel[1],  no  caso 
>>>  de  usar  um  servico  DHCP,  com  a  vantagem  de  nao  ter  que  mexer  em  estacoes. 
>>>
>>>  [1]  -  http://www.nongnu.org/ip-sentinel/
>>>
>>>
>>>  <a  href=¨http://naopod.com¨>./nelson  -murilo</a>
>>>
>>>
>>>  On  Thu,  Feb  28,  2008  at  03:58:22PM  -0300,  Jerônimo  Bezerra  wrote:
>>>    
>>>          
>>>>  Estou  estudando  maneiras  de  bloquear  ARP  Gratuito  na  rede,  e  como  os 
>>>>  switches  gerenciáveis  aqui  não  aceitam  esse  controle,  pensei  de  alguma 
>>>>  maneira  fazer  este  controle  nas  estações,  afim  de  evitar  spoofs.
>>>>
>>>>  Baseado  nas  experiência  de  vocês,  quais  impactos  poderia  esperar  (  até 
>>>>  agora  não  ví  nenhum  para  estação  )  e  como  bloquear  isso  no  Windows  e  no 
>>>>  Linux?
>>>>
>>>>  Não  tenho  interesse  em  colocar  entradas  estáticas  de  ARP,  já  que  num 
>>>>  problema  de  roteador  eu  estaria  numa  fria.  :)
>>>>       
>>>>             
>>>  --
>>>  gter  list      https://eng.registro.br/mailman/listinfo/gter
>>>    
>>>          
>>  --
>>  gter  list      https://eng.registro.br/mailman/listinfo/gter
>>       
>  --
>  gter  list      https://eng.registro.br/mailman/listinfo/gter
>    

--
gter  list      https://eng.registro.br/mailman/listinfo/gter





      ____________________________________________________________________________________
Be a better friend, newshound, and 
know-it-all with Yahoo! Mobile.  Try it now.  http://mobile.yahoo.com/;_ylt=Ahu06i62sR8HDtDypao8Wcj9tAcJ

More information about the gter mailing list