![[HaBo]](/styles/default/logoklein.png)
Arp Spoofing Gegenmaßnahmen?
- Themenstarter scratchy
- Beginndatum
da arp spoofind nur in einer bcast-domain funktioniert hast du im internet wenig/gar keine chancen was dagegen zu tun. im lan hingegen schon.
die einfachste und wohl effektivste (aber warscheinlich teuerste) variante ist einen neuen switch zu kaufen, der dich vor solchen sachen schuetzt, d.h. der switch kickt bei arp-storm den port ausm netz...
eine andere moeglichkeit waere noch ein VPN was der switch jedoch auch wieder unterstuetzen sollte, oder eben ein VPN auf client-basis und dieses dann verschluesseln.
wenn ich hier quatsch rede verbessert mich bitte...
cya idefix
die einfachste und wohl effektivste (aber warscheinlich teuerste) variante ist einen neuen switch zu kaufen, der dich vor solchen sachen schuetzt, d.h. der switch kickt bei arp-storm den port ausm netz...
eine andere moeglichkeit waere noch ein VPN was der switch jedoch auch wieder unterstuetzen sollte, oder eben ein VPN auf client-basis und dieses dann verschluesseln.
wenn ich hier quatsch rede verbessert mich bitte...
cya idefix
mal ueberleg....ein switch der ein vpn terminiert??? ok...kostet aber ein wenig.
eine andere moeglichkeit ist ein layer 3 switch (dieser hat basic routing funktionen) zu kaufen, bei dem du jeden port in ein anderes subnetz stellst...solche switches sind um einiges billiger als solche die noch zusaetzlich vpn terminieren koennen.
Ich persönlich nutze arpwatch welches seinen Dienst auch recht verlässlich tut. Jedoch ist die Grundbedingung das gemeldete Änderungen auch tatsächlich überprüft bzw. beachtet werden. DHCP sollte, vorrausgesetzt du benutzt bei dynamischer Vergabe Leasezeiten die im allgemeinen nicht überschritten werden, kein Problem sein. Bei automatischer und manueller Vergabe sowieso nicht.
ARPguard kommt etwas komisch vor. Es werden keinerlei technische Details bekannt gegeben. Für mich liegt die Vermutung nahe das es sich um eine grafische Oberfläche für ein vieleicht leicht abgewandeltes arpwatch handelt. Wahrscheinlich werden die Logfiles per Script ausgewetet usw...
Zumal ich gerne wüsste wie das vonstatten gehen soll einen Angreifer mit gefälschter IP- und MAC-Adresse eindeutig zu identifizieren..
Subnetting ist mit entsprechendem Routern der ganzen Sache natürlich ebenfalls sehr zuträglich. Zumindest die Server sollten in einem eigenen Subnetzt beherbergt sein..
Statische ARP-Tables sind, da extrem aufwendig zu administrieren, höchstens bei extrem sicherheitskritischen Diensten mit einer überschaubaren Anzahl von Clients sinvoll.
@idefix: Ein Switch der pro Port VPN macht? Klingt ein bisschen seltsam... Bitte ein Link zu so einem Produkt ;o) ...
@soox: Auf jedem Port ein Subnetz? Hört sich ebenfalls recht aufwendig bzgl. der Wartung an.. Zumal wie läuft das dann? Hat der Switch dann für jeden Port eine zusätzliche IP-Adresse für sich selber um als Gateway zu fungieren?? Hm, die Konfig würde ich gerne mal sehen...
ARPguard kommt etwas komisch vor. Es werden keinerlei technische Details bekannt gegeben. Für mich liegt die Vermutung nahe das es sich um eine grafische Oberfläche für ein vieleicht leicht abgewandeltes arpwatch handelt. Wahrscheinlich werden die Logfiles per Script ausgewetet usw...
Zumal ich gerne wüsste wie das vonstatten gehen soll einen Angreifer mit gefälschter IP- und MAC-Adresse eindeutig zu identifizieren..
Subnetting ist mit entsprechendem Routern der ganzen Sache natürlich ebenfalls sehr zuträglich. Zumindest die Server sollten in einem eigenen Subnetzt beherbergt sein..
Statische ARP-Tables sind, da extrem aufwendig zu administrieren, höchstens bei extrem sicherheitskritischen Diensten mit einer überschaubaren Anzahl von Clients sinvoll.
@idefix: Ein Switch der pro Port VPN macht? Klingt ein bisschen seltsam... Bitte ein Link zu so einem Produkt ;o) ...
@soox: Auf jedem Port ein Subnetz? Hört sich ebenfalls recht aufwendig bzgl. der Wartung an.. Zumal wie läuft das dann? Hat der Switch dann für jeden Port eine zusätzliche IP-Adresse für sich selber um als Gateway zu fungieren?? Hm, die Konfig würde ich gerne mal sehen...
