Jump to content

ARP Cache: statisch wird von dynamisch überschrieben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Szenario:

 

1x W2k3 Domänencontroller

100 x Clients mit W2k

1x Proxy

1x Gateway

 

Netzwerk: geswitched, ein Subnetzwerk.

 

es sind noch ca 100 weitere Dosen im Haus verteilt, wo jeder sein Notebook einstecken kann.

 

 

Das Problem:

 

Es gibt Leute die machen sich einen Spass raus mit Tools wie Cain & Abel den Netzwerkverkehr zwischen Server und client umzuleiten.

 

Daraus ergeben sich zwei Probleme:

 

1.) Es können Daten mit gesnifft werden. PAsswörter, Files, TANs, etc...

>> Die Lösung hier wäre eine Verschlüsselung (zB IPSec)

 

2.) Wenn der Datenverkehr zwischen Server und ein paar Clients über eine 10 MBit Halbduplex Netzwerkkarte umgeleitet wird, bringt der 1Gbit Switch nicht wirklich viel.

(10MBit Halbduplex = 5MBit > Als hin und zurück Leitung > 2,5 MBit für einen Filetransfer zum Server)

 

Die Lösung:

 

Die Umleitungen werden im geswitcheten Netzwerk per gefälschten ARP Packeten (ARP Spoofing) erzeugt.

Die Lösung ist jetzt das wir dem Server und allen Clients ststische Einträge im ARP Cache geben, dadurch können diese nicht von dynamischen "gefälschten" überschrieben werden.

So sollte die Theorie sein.

 

Die Fragestellung:

 

Bei w2k Clients geht es das man einen statischen Eintrag erzeugt, welcher nicht von dynamischen überschrieben wird.

 

Beim 2k3 SErver geht das nicht, er verhält sich falsch. Es sollte nicht möglich sein, das ein statischer Eintrag von einem dynamischen überschrieben wird.

 

Wenn die überschrieben werden, wird das schon seinen Grund haben.

Naja ich sehe keinen auser das 2k3 einen Fehler hat. Fakt ist laut Spezifikation dürfte das nicht passieren.

 

Wichtig:

Nachdem ein statischer Eintrag erzeugt worden ist, taucht parallel dazu ein dynamischer mit der gleichen Mac und Ip auf.

Link zu diesem Kommentar

Ich habe es noch nicht getestet. Ist denn SP1 auf den 2003 Servern?

Möglicherweise ein noch nicht gefixter Bug. bei XPSP1 gibt es einen Hotfix dazu, in SP2 ist der bereits drin: http://support.microsoft.com/kb/842169/en-us

(Wurde BTW auch bei 2000 per Hotfix bereinigt http://support.microsoft.com/kb/842168/en-us)

 

Ich würde da evtl. einen Call bei Microsoft aufmachen

 

 

grizzly999

Link zu diesem Kommentar

Mit an Sicherheit grenzender Wahrscheinlicheit liegt's nicht am Knotentyp, der hat damit nichts zu tun. Weiss der Kuckuck ...

 

Aber: wenn das für Euch ein reales Problem ist (ARP-Poisoning und ARP-Spoofing), dann wäre aus meiner Sicht der korrekte Weg nicht über so eine "windige" Sache wie statische MAC-Einträge, die nur im flüchtigen Arbeitsspeicher rumlungern, mit einfachen Tools ausgehebelt werden können, und wie man sieht auch teilw. Fixes benötigt. Dann kommt eigentlich nur der Einsatz von IPSec in Frage, webigeer zur Verschlüsselung, sondern mittels AH zur Datenintegrität.

 

 

grizzly999

Link zu diesem Kommentar

IPsec haben wir uns auch überlegt und wird wars***einlich auch noch kommen, aber das größere Problem ist das man mit den Umleitungen das Netzwerk ganz einfach lahmlegt.

 

Und soweit ich verstanden habe ist man davor auch mit IPSec nicht gewappnet.

 

Es handelt sich um ein Schulnetzwerk und den Schülern reicht es wenn die Clients sich nicht mehr an der Domäne anmelden, dann gibt schulfrei. :-)

Link zu diesem Kommentar

Ich würde ja vorschlagen einfach das Netz in dem sich die Schüler mit den Clients auf denen sie installieren dürfen physikalisch(oder VLAN) mäßig von dem Netz zu trennen in dem sich vertrauenswürdige Computer befinden.

Ich hoffe nicht das es irgendwelchen Schülern möglich ist überall Software zu installieren! :eek:

 

Naja dann können die Schüler sich schön gegenseitig lahmlegen und dir geht's am a... vorbei ;)

Link zu diesem Kommentar

Hallo zusammen.

 

Geeignete Schutzmaßnahmen gibt es da nicht viele, da ARP an sich das nicht vorsieht.

 

Einzige Möglichkeiten sind Layer3 - Switches, die IP/MAC - FilpFlops erkennen und

unterbinden. Des weiteren halt statische ARP-Tables, und ständige Kontrolle der

ARP-Einträge (was einen nicht hinzunehmenden Aufwand bedeutet). Letzteres

kann allerdings auch mit Tools realisiert werden.

 

Noch wäre zu nennen, dass geeignetes Subnetting eingeführt wird, da in diesen

der Router die Auflösung MAC <-> IP für die jeweiligen Clients der Subnetze

übernimmt und somit der Router entsprechend "gehärtet" sein sollte. Was natürlich

Angriffe im eigenen Subnetz nicht betrifft.

 

Eine strikte Abgrenzung von öffentlich zugänglichen Clients zum funktionalen

Backend (Serverfarm) ist natürlich ein sinnvoller Weg - siehe Router / Switches.

 

LG

Marco

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...