Проверка на ARP spoofing в сети

[IvanNext]

Вроде бы "лазил" по настройка KIS2009, видел где-то "галочку" arp спуфинг.

А сейчас все обыскал - не нашел. Мне, что - приcнилось?

[Roman_Five]

Вроде бы "лазил" по настройка KIS2009, видел где-то "галочку" arp спуфинг.

А сейчас все обыскал - не нашел. Мне, что - приcнилось?

 

 

арпспуффинг относится к сетевым атакам, которые очень трудно детектировать. для этого надо использовать стороннее ПО типа следующих

http://www.mirrorservice.org/sites/downloa...p/pr/prodetect/

[KaraVan]

KIS includes a notification when the MAC address changes.

System Security >> Firewall >> Settings >> Networks >> "Your Network Card Name" (Subnet) [double click] >> Additional.

The option you are looking for is under "Notify".

 

There is not much you do about ARP attacks by nature. If you dont trust the network do not connect period!

http://forum.kaspersky.com/lofiversion/index.php/t80255.html

Изменено 13 июня, 2009 пользователем KaraVan

[Roman_Five]

http://forum.kaspersky.com/lofiversion/index.php/t80255.html

 

а если в сети на 150 машин стоит маршрутизатор, который раздаёт динамические IP-адреса посредством dhcp, вы получите кучу балунов за 1 день и отключите данную настройку.

при статических ip - изменение соответствия мака айпишнику возможно и покажет, что спуффинг арп-записей ведётся

[KaraVan]

а если в сети на 150 машин стоит маршрутизатор, который раздаёт динамические IP-адреса посредством dhcp, вы получите кучу балунов за 1 день и отключите данную настройку.

при статических ip - изменение соответствия мака айпишнику возможно и покажет, что спуффинг арп-записей ведётся

Достаточно включить приличное время аренды адреса, и в сети со статичной топологией постоянных изменений не будет.

[Roman_Five]

Достаточно включить приличное время аренды адреса, и в сети со статичной топологией постоянных изменений не будет.

 

согласен, но для этого необходимо обладать правами админа на маршрутизаторе

 

но: и это не поможет, если злоумышленник имеет левый ноут, свободный конец витой пары, пару программуль и время.

как показывает практика, на спор можно за 1 час слить четверть всех корпоративных паролей и логинов и весь часовой траффик

[KaraVan]

согласен, но для этого необходимо обладать правами админа на маршрутизаторе

безусловно...

но: и это не поможет, если злоумышленник имеет левый ноут, свободный конец витой пары, пару программуль и время.

как показывает практика, на спор можно за 1 час слить четверть всех корпоративных паролей и логинов и весь часовой траффик

мы уже ударились во флейм, но как показывает хорошая практика, защита на портах switchport port-security с необходимым уровнем контроля решает данную проблему.

если на то пошло, мне знакомы организации которые тупо шифруют внутридоменный траффик с помощью ipsec.

[IvanNext]

Да, спасибо за ссылку http://forum.kaspersky.com/lofiversion/index.php/t80255.html .

Я ее уже читал, но видимо не внимательно, раз задал вопрос (единственное оправдание, что вышеуказанная тема на английском ).

Т.е. я действительно видел в настройках только пункты о соответствии IP и Mac адресов, и пункт о появлении нового MAC адреса, отсюда и ассоциации с защитой от arp спуффинга.

Изменено 13 июня, 2009 пользователем IvanNext