Как защитить wireless сеть от ARP Spoofing?

0

3

Доброго времени суток. Есть офис человек 50, все на ноутах и подключены по wifi. Встал вопрос о защите от arp spoofing'а. Можно решить статической ARP таблицой, но как по мне так это то еще извращение. Посоветуйте©

Ссылка

←	Mikrotik OVPN доступ к сетям клиентов

nginx server_name $document_root

→

#cast ~~Spoofing~~

Harald ★★★★★
(15.08.17 18:08:36 MSK)

Wi-fi на чем поднят? Какая железка?

ving2 ★
(15.08.17 18:22:37 MSK)

Ответ на: комментарий от Harald 15.08.17 18:08:36 MSK

Я открывал тему, в уме подсчитывая, каким по счёту будет это сообщение.

Открыл - поржал.

По теме: подними VPN/PPPoE. Да, допнагрузка на сервер.

Deleted
(15.08.17 18:31:09 MSK)
Последнее исправление: merhalak 15.08.17 18:33:55 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от ving2 15.08.17 18:22:37 MSK

На данный момент самые дешманские роутеры по 100р за кило. Планирую менять, что посоветуете?

Disova ★
(15.08.17 18:37:59 MSK) автор топика

А в беспроводных сетях разве такое возможно? Там же есть режим где запрещен п2п и все ходит только через ап и ничего заспуфить не получится. ЗЫ я в этих ваших вайфаях нуб. Просветите.

redixin ★★★★
(15.08.17 18:40:16 MSK)

Ответ на: комментарий от redixin 15.08.17 18:40:16 MSK

ага, почти во всех роутерах есть ap isolation.

Deleted
(15.08.17 18:43:10 MSK)

Ссылка

Ответ на: комментарий от redixin 15.08.17 18:40:16 MSK

Там же есть режим где запрещен п2п и все ходит только через ап и ничего заспуфить не получится

Зависит от точки. В тотальном говне опции для запрета p2p может и не быть(привет, старые, а может и некоторые новые D-Link-и). Да, даже несмотря на то, что пофакту всё идет через точку, повлиять на это нельзя - добро пожаловать в мир говна.

Pinkbyte ★★★★★
(15.08.17 19:22:51 MSK)

Ссылка

Надо использовать dynamic vlan assignment. Создать на точках 50 виланов, по одному на пользователя. Включить на точках radius аутентификацию. На radius сервере каждому пользователю создать учетку с уникальным логином и уникальным номером вилана.

Хотя я не понимаю, какую такую опасность представляет ARP spoofing, если есть просто аутентификация.

iliyap ★★★★★
(15.08.17 19:22:58 MSK)
Последнее исправление: iliyap 15.08.17 19:29:28 MSK (всего исправлений: 1)

Ответ на: комментарий от iliyap 15.08.17 19:22:58 MSK

Много мороки, тоже самое что руками писать arp таблицу. Что мешает авторизированому пользователю делать spoofing атаку? Даже если не знать пароль к wifi то очень легко получить handshake и делать на него брутфорс.

Disova ★
(15.08.17 22:20:58 MSK) автор топика

Ответ на: комментарий от Harald 15.08.17 18:08:36 MSK

От него невозможно защититься.

dhameoelin ★★★★★
(15.08.17 22:32:10 MSK)

Ссылка

Запрети ARP-ответы в беспроводной сети. Для этого нужно иметь экран прямо на точке доступа, способный фильтровать трафик WLAN-to-WLAN. Для меня в своё время было большим удивлением, что некоторые именитые вендоры этого не умеют.

~~Deathstalker~~ ★★★★★
(15.08.17 23:34:59 MSK)

Ответ на: комментарий от Disova 15.08.17 18:37:59 MSK

да я в железе не селен, а если поставить на мониторинг роутеры. Передавать arp таблицу....

ving2 ★
(16.08.17 04:42:13 MSK)

Ссылка

Ответ на: комментарий от Harald 15.08.17 18:08:36 MSK

Ты чего творишь! Он же сейчас ТС`у будет свой сайт показывать и всё и конец ТС в психушку уедет. Или вообще сеть всем вырубит своим пятидесяти чтобы ресурс сохранить...всего :D

P.S. 0KHQv9GD0YTQuCDQvdC1INC+0LHQuNC20LDQudGB0Y8g0Y8g0Y7QvNC+0YDRjiDQv9GA0L7RgdGC 0L4gKSkpCg==

~~Dron~~ ★★★★★
(16.08.17 05:06:51 MSK)
Последнее исправление: Dron 16.08.17 05:09:47 MSK (всего исправлений: 2)

Ссылка

Статическая arp таблица это то что нужно, а так можешь написать программу, которая будет проверять все arp значения и выводить если обнаружен перехват данных, я например встрою в свою программу такое. click. Так был и парсер и другое, но из-за не надобности перестал пользоваться.

~~u0atgKIRznY5~~ ☆
(16.08.17 06:06:45 MSK)

Ссылка

Ответ на: комментарий от iliyap 15.08.17 19:22:58 MSK

Хотя я не понимаю, какую такую опасность представляет ARP spoofing, если есть просто аутентификация.

Да там хоть какая аутентификация. Чтобы ты увидел в сети какой нибудь хост, для этого он сначала должен узнать его mac адрес, потому как данные отправляются по mac адресам. arp spoofing меняет mac адреса и всё.

~~u0atgKIRznY5~~ ☆
(16.08.17 06:11:19 MSK)

Ссылка

Ответ на: комментарий от redixin 15.08.17 18:40:16 MSK

А в беспроводных сетях разве такое возможно? Там же есть режим где запрещен п2п и все ходит только через ап и ничего заспуфить не получится. ЗЫ я в этих ваших вайфаях нуб. Просветите.

В wifi всё работает нуб. Данные отправляются по mac адресам.

~~u0atgKIRznY5~~ ☆
(16.08.17 06:14:03 MSK)

Ответ на: комментарий от Disova 15.08.17 22:20:58 MSK

ARP spoofing attack (он же ARP cache poisoning attack) требует нахождения жертвы и атакующего в одной подсети. При подходе «каждый пользователь в своем вилане и своей подсети» эта атака невозможна.

Чтобы провести атаку надо послать gratuitous arp или обычный arp reply. Как это сделать, если ты не аутентифицирован? Подбирать PSK брутфорсом? Если твой PSK можно подобрать брутфорсом за время меньшее срока жизни твоего PSK (обычно 3 месяца), то у тебя проблема. И это не проблема с атакой arp cache poisoning.

iliyap ★★★★★
(16.08.17 08:59:32 MSK)

Ответ на: комментарий от iliyap 16.08.17 08:59:32 MSK

если ты не аутентифицирован?

Так ТС хочет защищаться от своих же пользователей. Или может там проходной двор...

ving2 ★
(16.08.17 10:13:13 MSK)

Ответ на: комментарий от ving2 16.08.17 10:13:13 MSK

В принципе да. Проходного двора нет.

Disova ★
(16.08.17 10:14:34 MSK) автор топика

Ссылка

Ответ на: комментарий от Deathstalker 15.08.17 23:34:59 MSK

Во-первых, это защитит от ARP cache poisoning только на беспроводных хостах. Атакующий сможет выполнить ARP cache poisoning в first hop router и получать даунстрим трафик.

Во-вторых, если одна подсеть обслуживается несколькими точками (обычное дело), и если атакующий и жертва на разных точках, то ARP от атакующего жертве бриджуется WLAN-to-LAN на точке атакующего и LAN-to-WLAN на точке жертвы. Если фильтровать только WLAN-to-WLAN ARP, то толку мало.

В-третьих, фильтрация WLAN-to-WLAN ARP не даст беспроводным хостам коннектиться друг к другу. Может для публичной точки доступа это и хорошо, а вот для офиса не комильфо.

Для защиты от ARP cache poisoning надо применять комплекс мер. Причём все эти меры не зависят от того, проводная сеть или беспроводная.

Самое железобетонное решение — засунуть каждого пользователя в отдельный вилан. На first hop роутере в сторону каждого вилана смотрит свой интерфейс в своей подсети. ARP-ответ с адресом из подсети, отличной от подсети интерфейса, с которого получен этот ARP-ответ, роутер игнорирует. Защита ARP-кеша first hop роутера выполнена. Пользователи не могут послать пакеты напрямую друг другу, на ARP-запросы пользователей всегда отвечает first hop роутер. Защита ARP-кеша пользовательских хостов выполнена. Никакой экстрафункциональности от first hop роутера не требуется, только настройка 50+ интерфейсов и 50+ подсетей с длиной префикса /30. От точек требуется поддержка RADIUS based VLAN assignment. Требуется RADIUS-сервер. Требуется переход с PSK на username/password.

Другие решения — это разместить в одном вилане несколько пользователей, а дальше как-то организовывать препоны к ARP learning. Например, на first hop роутере вообще отключить ARP learning на интерфейсе, смотрящем в вилан с пользователями. DHCP-релей, работающий на first hop роутере добавляет статические ARP-записи при получении ответа от DHCP-сервера, удаляет статические ARP-записи при истечении срока жизни DHCP-аренды. Защита ARP-кеша роутера выполнена. На точках доступа включить фильтрацию ARP-ответов с IP-адресом first hop роутера, но с чужим MAC-адресом. Защита ARP-кеша пользовательских хостов выполнена частично: запрещена подмена first hop роутера. Для этого решения уже требуется не такая уж тривиальная функциональность на first hop роутере (DHCP relay ARP cache update) и на точке (ARP filtering).

iliyap ★★★★★
(16.08.17 10:58:48 MSK)