Jump to content
Sign in to follow this  
Deepnine

ARP Cache: statisch wird von dynamisch überschrieben

Recommended Posts

Hi,

 

hab folgendes Problem:

 

die statischen Einträge werden von dynamischen Überschrieben.

Meine Googlesuche hat das Problem nur bei 2k Rechner ohne Hotfix gefunden.

 

Bei den 2000 Clients geht das nicht, d.h. der Hotfix ist installiert.

 

Nun hätte ich gern bei dem 2k3 Server das gleiche Verhalten.

 

Danke Jan

Share this post


Link to post
Share on other sites

Ähm, wozu genau braucht man statische ARP-Einträge ?

Wenn die überschrieben werden, wird das schon seinen Grund haben.

 

-Zahni

Share this post


Link to post
Share on other sites

Szenario:

 

1x W2k3 Domänencontroller

100 x Clients mit W2k

1x Proxy

1x Gateway

 

Netzwerk: geswitched, ein Subnetzwerk.

 

es sind noch ca 100 weitere Dosen im Haus verteilt, wo jeder sein Notebook einstecken kann.

 

 

Das Problem:

 

Es gibt Leute die machen sich einen Spass raus mit Tools wie Cain & Abel den Netzwerkverkehr zwischen Server und client umzuleiten.

 

Daraus ergeben sich zwei Probleme:

 

1.) Es können Daten mit gesnifft werden. PAsswörter, Files, TANs, etc...

>> Die Lösung hier wäre eine Verschlüsselung (zB IPSec)

 

2.) Wenn der Datenverkehr zwischen Server und ein paar Clients über eine 10 MBit Halbduplex Netzwerkkarte umgeleitet wird, bringt der 1Gbit Switch nicht wirklich viel.

(10MBit Halbduplex = 5MBit > Als hin und zurück Leitung > 2,5 MBit für einen Filetransfer zum Server)

 

Die Lösung:

 

Die Umleitungen werden im geswitcheten Netzwerk per gefälschten ARP Packeten (ARP Spoofing) erzeugt.

Die Lösung ist jetzt das wir dem Server und allen Clients ststische Einträge im ARP Cache geben, dadurch können diese nicht von dynamischen "gefälschten" überschrieben werden.

So sollte die Theorie sein.

 

Die Fragestellung:

 

Bei w2k Clients geht es das man einen statischen Eintrag erzeugt, welcher nicht von dynamischen überschrieben wird.

 

Beim 2k3 SErver geht das nicht, er verhält sich falsch. Es sollte nicht möglich sein, das ein statischer Eintrag von einem dynamischen überschrieben wird.

 

Wenn die überschrieben werden, wird das schon seinen Grund haben.

Naja ich sehe keinen auser das 2k3 einen Fehler hat. Fakt ist laut Spezifikation dürfte das nicht passieren.

 

Wichtig:

Nachdem ein statischer Eintrag erzeugt worden ist, taucht parallel dazu ein dynamischer mit der gleichen Mac und Ip auf.

Share this post


Link to post
Share on other sites

Ich habe es noch nicht getestet. Ist denn SP1 auf den 2003 Servern?

Möglicherweise ein noch nicht gefixter Bug. bei XPSP1 gibt es einen Hotfix dazu, in SP2 ist der bereits drin: http://support.microsoft.com/kb/842169/en-us

(Wurde BTW auch bei 2000 per Hotfix bereinigt http://support.microsoft.com/kb/842168/en-us)

 

Ich würde da evtl. einen Call bei Microsoft aufmachen

 

 

grizzly999

Share this post


Link to post
Share on other sites

Kann es was mit dem Knotentyp zu tun haben?

 

Hab jetzt von 8 auf 2 und zurück geändert.

 

Und jetzt gehts. Aber leider kann ich den Fehler nicht reproduzieren. Und das mag ich net. Nicht das es aufeinaml wieder kommt und dann schauen wir in die Röhre und wissen es nicht mal.

 

Hotfixes sind alle drauf.

Share this post


Link to post
Share on other sites

Mit an Sicherheit grenzender Wahrscheinlicheit liegt's nicht am Knotentyp, der hat damit nichts zu tun. Weiss der Kuckuck ...

 

Aber: wenn das für Euch ein reales Problem ist (ARP-Poisoning und ARP-Spoofing), dann wäre aus meiner Sicht der korrekte Weg nicht über so eine "windige" Sache wie statische MAC-Einträge, die nur im flüchtigen Arbeitsspeicher rumlungern, mit einfachen Tools ausgehebelt werden können, und wie man sieht auch teilw. Fixes benötigt. Dann kommt eigentlich nur der Einsatz von IPSec in Frage, webigeer zur Verschlüsselung, sondern mittels AH zur Datenintegrität.

 

 

grizzly999

Share this post


Link to post
Share on other sites

IPsec haben wir uns auch überlegt und wird wars***einlich auch noch kommen, aber das größere Problem ist das man mit den Umleitungen das Netzwerk ganz einfach lahmlegt.

 

Und soweit ich verstanden habe ist man davor auch mit IPSec nicht gewappnet.

 

Es handelt sich um ein Schulnetzwerk und den Schülern reicht es wenn die Clients sich nicht mehr an der Domäne anmelden, dann gibt schulfrei. :-)

Share this post


Link to post
Share on other sites
Es handelt sich um ein Schulnetzwerk und den Schülern reicht es wenn die Clients sich nicht mehr an der Domäne anmelden, dann gibt schulfrei. :-)

Nee, dann gibt's Paddel :D :D :D

 

IPSec hilft nicht dagegen, das stimmt, nur gegen Man in the Middle Attacks u.ä. aufgrund von ARP_Spoofing und Poisoning

 

 

grizzly999

Share this post


Link to post
Share on other sites

gibt es eigendlich Möglichkeiten gegen ARP_Spoofing und Poisoning Attacken?

 

Wie schaffen es Hoster wie Puretec?

Bei denen ging es ja eine zeitlang aber jetzt angeblich nicht mehr.

Share this post


Link to post
Share on other sites

Ich würde ja vorschlagen einfach das Netz in dem sich die Schüler mit den Clients auf denen sie installieren dürfen physikalisch(oder VLAN) mäßig von dem Netz zu trennen in dem sich vertrauenswürdige Computer befinden.

Ich hoffe nicht das es irgendwelchen Schülern möglich ist überall Software zu installieren! :eek:

 

Naja dann können die Schüler sich schön gegenseitig lahmlegen und dir geht's am a... vorbei ;)

Share this post


Link to post
Share on other sites

Hallo zusammen.

 

Geeignete Schutzmaßnahmen gibt es da nicht viele, da ARP an sich das nicht vorsieht.

 

Einzige Möglichkeiten sind Layer3 - Switches, die IP/MAC - FilpFlops erkennen und

unterbinden. Des weiteren halt statische ARP-Tables, und ständige Kontrolle der

ARP-Einträge (was einen nicht hinzunehmenden Aufwand bedeutet). Letzteres

kann allerdings auch mit Tools realisiert werden.

 

Noch wäre zu nennen, dass geeignetes Subnetting eingeführt wird, da in diesen

der Router die Auflösung MAC <-> IP für die jeweiligen Clients der Subnetze

übernimmt und somit der Router entsprechend "gehärtet" sein sollte. Was natürlich

Angriffe im eigenen Subnetz nicht betrifft.

 

Eine strikte Abgrenzung von öffentlich zugänglichen Clients zum funktionalen

Backend (Serverfarm) ist natürlich ein sinnvoller Weg - siehe Router / Switches.

 

LG

Marco

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...