[HaBo]

scratchy · 28.06.04, 08:28

Hallo,

was für Gegenmaßnahmen gibt es gegen Arp Spoofing?
Kennt sich jemand mit Arp-Guard oder Arp watch aus?
Sind diese tools für große Netzwerke mit dhcp geeignet?
Was gibt es noch für Möglichkeiten (statische Arp Tabelle, etc.)

Merci

idefix · 28.06.04, 13:58

da arp spoofind nur in einer bcast-domain funktioniert hast du im internet wenig/gar keine chancen was dagegen zu tun. im lan hingegen schon.
die einfachste und wohl effektivste (aber warscheinlich teuerste) variante ist einen neuen switch zu kaufen, der dich vor solchen sachen schuetzt, d.h. der switch kickt bei arp-storm den port ausm netz...

eine andere moeglichkeit waere noch ein VPN was der switch jedoch auch wieder unterstuetzen sollte, oder eben ein VPN auf client-basis und dieses dann verschluesseln.

wenn ich hier quatsch rede verbessert mich bitte...

cya idefix

Anzeige

- Anzeige -

**soox** · 28.06.04, 16:43

Zitat:

Original von idefix
eine andere moeglichkeit waere noch ein VPN was der switch jedoch auch wieder unterstuetzen sollte, oder eben ein VPN auf client-basis und dieses dann verschluesseln.

mal ueberleg....ein switch der ein vpn terminiert??? ok...kostet aber ein wenig.
eine andere moeglichkeit ist ein layer 3 switch (dieser hat basic routing funktionen) zu kaufen, bei dem du jeden port in ein anderes subnetz stellst...solche switches sind um einiges billiger als solche die noch zusaetzlich vpn terminieren koennen.

DelumaX · 30.06.04, 16:32

Ich persönlich nutze arpwatch welches seinen Dienst auch recht verlässlich tut. Jedoch ist die Grundbedingung das gemeldete Änderungen auch tatsächlich überprüft bzw. beachtet werden. DHCP sollte, vorrausgesetzt du benutzt bei dynamischer Vergabe Leasezeiten die im allgemeinen nicht überschritten werden, kein Problem sein. Bei automatischer und manueller Vergabe sowieso nicht.

ARPguard kommt etwas komisch vor. Es werden keinerlei technische Details bekannt gegeben. Für mich liegt die Vermutung nahe das es sich um eine grafische Oberfläche für ein vieleicht leicht abgewandeltes arpwatch handelt. Wahrscheinlich werden die Logfiles per Script ausgewetet usw...
Zumal ich gerne wüsste wie das vonstatten gehen soll einen Angreifer mit gefälschter IP- und MAC-Adresse eindeutig zu identifizieren..

Subnetting ist mit entsprechendem Routern der ganzen Sache natürlich ebenfalls sehr zuträglich. Zumindest die Server sollten in einem eigenen Subnetzt beherbergt sein..

Statische ARP-Tables sind, da extrem aufwendig zu administrieren, höchstens bei extrem sicherheitskritischen Diensten mit einer überschaubaren Anzahl von Clients sinvoll.

@idefix: Ein Switch der pro Port VPN macht? Klingt ein bisschen seltsam... Bitte ein Link zu so einem Produkt ;o) ...

@soox: Auf jedem Port ein Subnetz? Hört sich ebenfalls recht aufwendig bzgl. der Wartung an.. Zumal wie läuft das dann? Hat der Switch dann für jeden Port eine zusätzliche IP-Adresse für sich selber um als Gateway zu fungieren?? Hm, die Konfig würde ich gerne mal sehen...

**soox** · 30.06.04, 16:43

Zitat:

Original von DelumaX

@soox: Auf jedem Port ein Subnetz? Hört sich ebenfalls recht aufwendig bzgl. der Wartung an.. Zumal wie läuft das dann? Hat der Switch dann für jeden Port eine zusätzliche IP-Adresse für sich selber um als Gateway zu fungieren?? Hm, die Konfig würde ich gerne mal sehen...

ja genau...jeder port hat eine gw-ip....wer sagt, dass sowas nicht aufwenig ist...
glaube kaum, dass sone konfig irgenwo rumliegt...wird wohl nicht taeglich gebraucht :-)

DelumaX · 30.06.04, 22:44

Ich bezweifle fast das überhaupt jemand eine derartige Kofiguration anwendet

...

Anzeige

- Anzeige -

28.06.04, 08:28	#1 (permalink)
scratchy Registriert seit: 05.08.03 Likes: 0	Arp Spoofing Gegenmaßnahmen? Anzeige Hallo, was für Gegenmaßnahmen gibt es gegen Arp Spoofing? Kennt sich jemand mit Arp-Guard oder Arp watch aus? Sind diese tools für große Netzwerke mit dhcp geeignet? Was gibt es noch für Möglichkeiten (statische Arp Tabelle, etc.) Merci

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
IP Spoofing	brave_snoopy	(In)security allgemein	7	06.04.08 17:37
Gegenmaßnahmen gegen Emule	Tom453	(In)security allgemein	22	14.05.06 11:24
mac spoofing	pau	Network · LAN, WAN, Firewalls	5	24.07.05 19:59
MAC Spoofing	scratchy	(In)security allgemein	26	15.04.04 17:06
ip-spoofing	dark faro	Internet Allgemein	2	28.08.03 06:32

28.06.04, 13:58	#2 (permalink)
idefix Registriert seit: 11.08.03 Likes: 0	da arp spoofind nur in einer bcast-domain funktioniert hast du im internet wenig/gar keine chancen was dagegen zu tun. im lan hingegen schon. die einfachste und wohl effektivste (aber warscheinlich teuerste) variante ist einen neuen switch zu kaufen, der dich vor solchen sachen schuetzt, d.h. der switch kickt bei arp-storm den port ausm netz... eine andere moeglichkeit waere noch ein VPN was der switch jedoch auch wieder unterstuetzen sollte, oder eben ein VPN auf client-basis und dieses dann verschluesseln. wenn ich hier quatsch rede verbessert mich bitte... cya idefix

30.06.04, 16:32	#4 (permalink)
DelumaX Senior Member Registriert seit: 02.10.01 Likes: 0	Ich persönlich nutze arpwatch welches seinen Dienst auch recht verlässlich tut. Jedoch ist die Grundbedingung das gemeldete Änderungen auch tatsächlich überprüft bzw. beachtet werden. DHCP sollte, vorrausgesetzt du benutzt bei dynamischer Vergabe Leasezeiten die im allgemeinen nicht überschritten werden, kein Problem sein. Bei automatischer und manueller Vergabe sowieso nicht. ARPguard kommt etwas komisch vor. Es werden keinerlei technische Details bekannt gegeben. Für mich liegt die Vermutung nahe das es sich um eine grafische Oberfläche für ein vieleicht leicht abgewandeltes arpwatch handelt. Wahrscheinlich werden die Logfiles per Script ausgewetet usw... Zumal ich gerne wüsste wie das vonstatten gehen soll einen Angreifer mit gefälschter IP- und MAC-Adresse eindeutig zu identifizieren.. Subnetting ist mit entsprechendem Routern der ganzen Sache natürlich ebenfalls sehr zuträglich. Zumindest die Server sollten in einem eigenen Subnetzt beherbergt sein.. Statische ARP-Tables sind, da extrem aufwendig zu administrieren, höchstens bei extrem sicherheitskritischen Diensten mit einer überschaubaren Anzahl von Clients sinvoll. @idefix: Ein Switch der pro Port VPN macht? Klingt ein bisschen seltsam... Bitte ein Link zu so einem Produkt ;o) ... @soox: Auf jedem Port ein Subnetz? Hört sich ebenfalls recht aufwendig bzgl. der Wartung an.. Zumal wie läuft das dann? Hat der Switch dann für jeden Port eine zusätzliche IP-Adresse für sich selber um als Gateway zu fungieren?? Hm, die Konfig würde ich gerne mal sehen...

30.06.04, 22:44	#6 (permalink)
DelumaX Senior Member Registriert seit: 02.10.01 Likes: 0	Ich bezweifle fast das überhaupt jemand eine derartige Kofiguration anwendet ...

[HaBo]

Arp Spoofing Gegenmaßnahmen?