Bloquer l'ARP Spoofing/Poisonning au niveau soft - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 01-11-2007 à 17:21:03
Il est possible de "locker" certaines IP/Mac pour éviter l'ARP spoofing. Mais celà devient vite lourd au fur et à mesure que le parc s'agrandit. En plus certains OS tel que 2000 gèrent mal cette solution.
La solution la plus viable reste l'utilisation de switchs intelligents.
Vu que certains firewall peuvent filtrer les MAC et IP, ils peuvent sûrement faire l'association MAC/IP; mais ça revient au même cas que l'utilisation d'une table ARP statique. Enfin je ne m'y connais pas trop en firewall...
Marsh Posté le 01-11-2007 à 19:08:49
animemint a écrit : Il est possible de "locker" certaines IP/Mac pour éviter l'ARP spoofing. Mais celà devient vite lourd au fur et à mesure que le parc s'agrandit. En plus certains OS tel que 2000 gèrent mal cette solution. |
Ca me conviendrait puisque c'est une seule machine qui serait sensée faire de l'ARP Spoofing (pour mettre en "quarantaine" une machine intrus du réseau en blindant sa table ARP). Comment peut-on faire ça sous 2000 ou XP ? Avec un soft ?
animemint a écrit : |
J'ai lu sur frameip que les firewalls statefull pouvaient bloquer l'ARP Spoofing, je vais rechercher de ce côté là.
Marsh Posté le 31-10-2007 à 18:02:18
Bonjour,
Je teste une appli de sécu installé sur une machine 1 qui est censé empêcher une machine 2 d'avoir accès au réseau en blindant sa table ARP avec son adresse MAC (quelque soit la requète de machine 2, elle tombera toujours sur machine 1 qui lui affichera dans le cas d'une requète http un message expliquant le blocage etc...). Je souhaiterais savoir quels sont les moyens de contourner ça sur ma machine 2 qui disposerait d'un windows classique (2000 ou XP). J'ai rentré l'adresse de la passerelle en statique dans la table ARP mais apparemment ca ne suffit pas car il blinde tout le reste de ma table ARP si bien que quelque soit le serveur que je demande je me retrouve sur machine 1.
- Peut-on empêcher une table ARP de se remplir dynamiquement ?
- Quels types de soft en local sur la machine victime peuvent bloquer une attaque de ce type ? (firewall stateful ? H-IPS ?)
Merci d'avance pour vos conseils !
Message édité par Arrgghh le 31-10-2007 à 18:04:04