Új hozzászólás Aktív témák

• #9640 knor82 csendes tag honda 1993 #9635

  Új Válasz 2015-05-29 22:09:22 #9640

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  knor82

  csendes tag

  válasz honda 1993 #9635 üzenetére

  Az, hogy a "windows" részéről mit blokkol, azt nem tudom (eredeti vagy kalóz változat?).

  Minden IP-vel kommunikáló eszköz fenntart egy ARP táblát, amelyben ethernet címek tárolódnak a hozzájuk tartozó IP címekkel. Ez alapján történik az eszközök által az elküldendő adatkeretek címzése. Ha egy állomás egy adott IP címmel rendelkező állomással akar kommunikálni és nem tudja az ethernet címet, egy ARP kérést küld a hálózatra, amelyet az adott IP címmel rendelkező állomás megválaszol majd. Az ARP kérés ethernet broadcast formájában minden eszközhöz eljut, de megválaszolni alapesetben csak a cél-IP címmel rendelkező eszköz fogja. Az ARP táblában lévő címpárok Windows esetében általában 2 percig, Linux esetében 30 másodpercig, IP telefonok esetében akár 30-40 percig is megmaradnak, ha nem történik kommunikáció. Egy újabb ARP válasz felülírja a korábbi bejegyzést.

  Az ARP mechanizmus kompromittálásával lehetséges bármely két kommunikáló fél közé beékelődni és észrevétlenül lehallgatni a teljes kommunikációt. Továbbá az ún. gratuitous ARP válaszok elfogadásának engedélyezése nem a cél-IP címmel rendelkező eszköztől érkezik, hanem egy harmadik kommunikáló féltől, mintegy segítségként.

  Védekezés: A védekezés a Dinamikus ARP ellenőrzés (Dynamic ARP Inspection=DAI) segítségével lehetséges, amely egy összetett mechanizmus. Feltétele, hogy rendelkezásre álljon egy minden DHCP történést rögzítő táblázat (DHCP binding table), amelyet az ethernet kapcsolók építenek fel a DHCP forgalom monitorozásával. A DAI megvizsgál és összevet mindent ARP kérést és választ a DHCP binding táblázatban található információval, és amennyiben egy ARP válasz nem az ARP-tulajdonostól (azaz az IP cím jogos tulajdonosától) származik, az eldobásra kerül. A jogosult ARP-tulajdonos egy olyan port, amelyen lévő eszköz a DHCP-táblában megtalálható a megfelelő ethernet és IP címmel.

  Az olyan portokon, ahol DHCP-t nem használó eszköz van, "megbízható", azaz trusted állapotba kell konfigurálni és így azon DAI ellenőrzés nem történik, mert különben nem tudna kommunikálni az ilyen eszköz, mivel nem szerepel a DHCP-táblában. Fontos kiegészítő lépés lehet még a védelem érdekében, ha letiltjuk az eszközökön az un. gratuitous ARP (3. féltől érkező) ARP válaszok elfogadását. Erre az IP telefonok konfigurációs beállítása általában lehetőséget ad.

  (az ARP tábla és mechanizmus leírását innen emeltem át: http://www.lemonet.hu/halozati-biztonsag-novelese )

Új hozzászólás Aktív témák