Entrada ARP estática para combater roteadores falsos e envenenamento por ARP

Navegue suas respostas
3

Atualmente estou estudando sobre ataque de spoofing de arp (mitm). A maioria das distribuições comuns de linux parece estar, por padrão, exposta a esse tipo de ataque. No entanto, uma solução simples parece definir a entrada arp do gateway no estado estático.

Existe uma maneira com o NetworkManager (dispatcher.d) para definir automaticamente uma entrada arp do gateway no estado estático (ou mesmo efeito)? Ou há um parâmetro para definir em sysctl.conf evitar envenenamento de arp? Ou talvez outra maneira de conseguir isso?

    
por Inglebard 30.01.2018 / 20:41

2 respostas

1

Conceitualmente, sim, fixar alguns endereços MAC é uma solução possível (conforme a resposta do @ daniel acima), mas há muitas desvantagens:

  • Embora você possa adicionar entradas estáticas de ARP, seu atacante ainda pode falsificar o gateway e seus MACs e os dois sistemas analisarão os quadros dos invasores;
  • Se o seu sistema estiver obtendo sua configuração L3 via DHCP, o invasor poderá atacá-lo para garantir que você esteja usando um gateway diferente; nesse caso, fixar o MAC do gateway real não fará diferença;
  • Você terá dificuldades para manter uma lista de entradas estáticas, pois todos os sistemas precisarão ser configurados manualmente;
por 19.02.2018 / 18:59
0

Eu aconselho você a testá-lo primeiro com: 

arp -s router_hostname router_ethernet_addr

onde router_ethernet_addr é o endereço MAC (Ethernet ou 802.11) do seu roteador. Para verificar sua distribuição Linux específica, leia: 

man arp

Quando isso estiver correto, sugiro rejeitar qualquer adição dinâmica à sua tabela arp com: 

sysctl 'arp_accept=0'
sysctl 'drop_gratuitous_arp=1'

Para verificar esta sysntax, leia: 

man sysctl
man sysctl.conf

Em seguida, teste para fazer uma resposta do roteador falso em sua rede e verifique se seu endereço Ethernet (ou 802.11) é aceito ou não.

    
por 03.02.2018 / 11:17

Tags

Usando um tema escuro no KDE com aplicativos Gnome (por exemplo, Firefox) Como você usa “curl” para se conectar a um site com um protocolo não padrão?