LAN 上的 arp 欺骗保护

信息安全 中间人 ARP欺骗
2021-08-29 12:49:32

我是公司的网络管理员。我阅读了这篇文章,使用 android 从网络中弹出任何 wifi 设备

一些雇主正在使用手机和公司的无线网络。这些雇主与 IT 无关。因此,他们使用 WIFI 浏览网页。(我不能给他们WIFI密码,但有些员工需要WIFI才能工作)当然,他们可以将笔记本电脑插入任何可用的有线插座(是的,我可以拔掉服务器机房中未使用的插座)。

如何保护我的本地网络免受 arp 欺骗?我不想制作静态 arp 表。 我阅读了维基百科文章 ARP_spoofing

有没有办法,我可以在我们的 linux 服务器上设置一些软件并保护整个网络,或者需要在每台计算机上进行一些配置?如果这很重要,我们也正在使用 VPN (openvpn)。

我可以在 WIFI 路由器中丢弃 arp 请求吗?或者它们是 DHCP 工作所必需的?来自 WIFI 路由器的 DHCP 请求被转发到 linux 服务器。

一个人认为 wifi 是我可能需要在 VLAN 中隔离公共 wifi 吗?为此我需要支持VLAN的wifi路由器和支持VLAN的交换机,而我们的linux防火墙的网卡也必须支持VLAN,对吗?

如果我防止 ARP 欺骗,那么 MITM 攻击是可能的吗?

3个回答

建议您研究最新的 Cisco AP。我相信这些设备能够将每个无线客户端与网络隔离开来。所有客户端流量都被路由而不是交换。

然后,您可以设置 ACL 以防止连接 WiFi 的客户端访问它们不应访问的任何内容。

此外,大多数企业级交换机都支持反 ARP 欺骗。端口可以​​配置为允许不超过一个 MAC 地址。或者,可以将 MAC 地址限制为 DHCP 分配的值(动态 ARP)。虚拟服务器端口和交叉连接到其他网络设备的端口不会得到限制策略。

如果您感到严重偏执,您可能会考虑使用 X509 证书身份验证在 LAN 上的所有关键系统之间配置 IPSEC。这可以防止所有形式的流量嗅探和 MITM 攻击。请务必设置 CRL(证书吊销列表),以便如果任何一个系统受到损害或只是报废并被丢弃,它的证书可以被吊销,并且不再用于 LAN 上的通信。

一个警告:如果其中一个关键系统被黑客入侵,黑客将在“内部”并且仍然可以做黑客所做的所有坏事。

您无法保护第 2 层网络免受 ARP 欺骗。单个无线 AP 由单个无线二层网络组成。

我不知道您的无线 AP 是充当网桥(将传播客户端无线卡使用的“原始”MAC 地址)还是路由器(将使用 AP 的 MAC 地址重新传输)。如果它处于路由器模式,那么您的有线客户端已经受到无线客户端的 ARP 欺骗保护。如果它处于桥接模式,并且攻击者知道有线 LAN 用户的 MAC 地址,那么他们可以将其从网络中删除。

您不能在不破坏网络的情况下丢弃 ARP 请求。无论如何,这无济于事,因为任何使用重复 MAC 地址传输的数据包都足以引起问题。

至于隔离你的WIFI,这很容易。在 AP 和其他有线网络之间插入一个路由器。您可以将其插入物理 LAN 或 VLAN,您不需要使用 VLAN 标记和卡支持,它只是普通的旧第 3 层网络。

ARP 欺骗是第 2 层攻击,因此使用安全措施来强化第 2 层将是防止 arp 欺骗攻击的更好选择。

我建议您使用 iptables 并使用以下命令将 mac 地址与设备的 IP 地址绑定:

iptables -t nat -A PREROUTING -p tcp -m mac --mac-source XX:XX:XX:XX:XX:X -s 192.168.112.115/32 -j ACCEPT

iptables -t nat -A POSTROUTING -p tcp -m mac --mac-source XX:XX:XX:XX:XX:X -s 192.168.112.115/32 -d 0.0.0.0/0.0.0.0 -j MASQUERADE

iptables -t nat -A PREROUTING -j DROP

其它你可能感兴趣的问题
上一篇iframe javascript键盘记录器 下一篇如何在 X.509 证书中存储 Diffie-Hellman 参数?