[GTER] ARP Gratuito
Igor Giangrossi
igiangrossi at yahoo.com
Fri Feb 29 18:40:08 -03 2008
Jerônimo,
O melhor jeito de se bloquear este tipo de ataque em switches mais básicos é colocar as entradas de ARP estáticas. Sobre o caso da falha nos roteadores, você usa redundância com VRRP/HSRP? Ou tem redundância de links L2 com Spanning Tree (não apareceu no seu diagrama...)?
Existem algumas técnicas que controlam isso de forma automática, inclusive para os casos com estações recebendo endereços via DHCP. Isto é feito através de DHCP Snooping e Dynamic ARP Inspection, e por exemplo a maioria dos switches Cisco o fazem.
Mas como você quer usar o que já tem mesmo, a não ser que insira outros elementos na rede para fazê-lo, as entradas estáticas são a solução mais simples e mais efetiva. Você pode por exemplo colocar as entradas estáticas dos routers e máquinas principais nos hosts, e colocar entradas estáticas na tabela MAC dos switches (caso não haja redundância). Mas como toda solução estática, ela não é muito amigável a mudanças... :-)
[]s
Igor
----- Original Message ----
From: Jerônimo Bezerra <jab at ufba.br>
To: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Sent: Friday, February 29, 2008 4:57:48 PM
Subject: Re: [GTER] ARP Gratuito
Desculpe Nelson, fiz confusão e a "figurinha" se desmontou.. a maq2 tá
no sw2.
Seguinte: a maq1 e a maq2 estão conectadas num mesmo switch ( não
gerenciável ), e a maq1 faz ARP gratuito pra broadcast e dentro do
quadro coloca como destino o IP/MAC da maq2 e origem MAC da maq1 e IP do
router para "envenenar" a tabela ARP da maq2, fazendo-a enviar tudo
através da maq1. Então, como entre o switch destas maquinas e o roteador
podem haver "n" switches, fica difícil posicionar o ip-sentinel ( ainda
estou estudando-o para entender ). Por isso pensei em bloquear nas
estações diretamente.
Pode me explicar melhor o ip-sentinel neste ambiente? O que ele faria no
caso da maq1 enviar o ARP Reply sem um arp request antes?
Grato,
Jerônimo
Nelson Murilo escreveu:
> Nao sei se entendi, voce tem um arp gratuito que nao faz broadcast?
> Ou entre a maq1 e maq2 existe um roteador?
> De qualquer forma essa solucao, como qualquer outra do tipo, somente seria
> viavel em num mesmo segmento, ou com alguem fazendo proxy arp.
>
> ./nelson -murilo
>
> On Fri, Feb 29, 2008 at 09:27:04AM -0300, Jerônimo Bezerra wrote:
>
>> Olá Nelson, obrigado pela resposta.
>>
>> Neste caso, eu tenho a seguinte situação:
>>
>> router <---> sw1 <--> sw2 <--> maq1
>> |
>> |
>> maq2
>>
>> a maq1 pode enviar APENAS para a maq2 ARP gratuito se passando pelo
>> router, e neste caso este ARP gratuito não seria por broadcast e não
>> chegaria no ip-sentinel. Como proceder neste tipo de ambiente. Se eu
>> tivesse controle de 1 MAC por porta do switch, resolveria 99% dos casos.
>> Mas tem hubs e switches não gerenciáveis no caminho. ( Não aceito
>> "troque tudo por switch gerenciável" :) )
>>
>> E agora?
>>
>> Jeronimo
>>
>>
>> Nelson Murilo escreveu:
>>
>>> Uma solucao poderia ser algo na linha do IP-Sentinel[1], no caso
>>> de usar um servico DHCP, com a vantagem de nao ter que mexer em estacoes.
>>>
>>> [1] - http://www.nongnu.org/ip-sentinel/
>>>
>>>
>>> <a href=¨http://naopod.com¨>./nelson -murilo</a>
>>>
>>>
>>> On Thu, Feb 28, 2008 at 03:58:22PM -0300, Jerônimo Bezerra wrote:
>>>
>>>
>>>> Estou estudando maneiras de bloquear ARP Gratuito na rede, e como os
>>>> switches gerenciáveis aqui não aceitam esse controle, pensei de alguma
>>>> maneira fazer este controle nas estações, afim de evitar spoofs.
>>>>
>>>> Baseado nas experiência de vocês, quais impactos poderia esperar ( até
>>>> agora não ví nenhum para estação ) e como bloquear isso no Windows e no
>>>> Linux?
>>>>
>>>> Não tenho interesse em colocar entradas estáticas de ARP, já que num
>>>> problema de roteador eu estaria numa fria. :)
>>>>
>>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
gter list https://eng.registro.br/mailman/listinfo/gter
____________________________________________________________________________________
Be a better friend, newshound, and
know-it-all with Yahoo! Mobile. Try it now. http://mobile.yahoo.com/;_ylt=Ahu06i62sR8HDtDypao8Wcj9tAcJ
More information about the gter
mailing list