Ich persönlich nutze arpwatch welches seinen Dienst auch recht verlässlich tut. Jedoch ist die Grundbedingung das gemeldete Änderungen auch tatsächlich überprüft bzw. beachtet werden. DHCP sollte, vorrausgesetzt du benutzt bei dynamischer Vergabe Leasezeiten die im allgemeinen nicht überschritten werden, kein Problem sein. Bei automatischer und manueller Vergabe sowieso nicht.
ARPguard kommt etwas komisch vor. Es werden keinerlei technische Details bekannt gegeben. Für mich liegt die Vermutung nahe das es sich um eine grafische Oberfläche für ein vieleicht leicht abgewandeltes arpwatch handelt. Wahrscheinlich werden die Logfiles per Script ausgewetet usw...
Zumal ich gerne wüsste wie das vonstatten gehen soll einen Angreifer mit gefälschter IP- und MAC-Adresse eindeutig zu identifizieren..
Subnetting ist mit entsprechendem Routern der ganzen Sache natürlich ebenfalls sehr zuträglich. Zumindest die Server sollten in einem eigenen Subnetzt beherbergt sein..
Statische ARP-Tables sind, da extrem aufwendig zu administrieren, höchstens bei extrem sicherheitskritischen Diensten mit einer überschaubaren Anzahl von Clients sinvoll.
@idefix: Ein Switch der pro Port VPN macht? Klingt ein bisschen seltsam... Bitte ein Link zu so einem Produkt ;o) ...
@soox: Auf jedem Port ein Subnetz? Hört sich ebenfalls recht aufwendig bzgl. der Wartung an.. Zumal wie läuft das dann? Hat der Switch dann für jeden Port eine zusätzliche IP-Adresse für sich selber um als Gateway zu fungieren?? Hm, die Konfig würde ich gerne mal sehen...