voor alle oplossingen zul je handmatig entries moeten maken aangezien de machine zal moeten weten welk mac adres bij welk ip hoort. Arp is ontworpen om bij een nieuwe broadcast altijd de vorige te overrulen. Dit is een "fout" in het protocol.

hopende je vraag hiermee naar tevredenheid te hebben beantwoord.

-Martijn

Wij gebruiken netdisco en een regelmatige download van MAC tabellen in switches en ARP tabellen in routers om de boel in de gaten te houden. Dat is niet real time in die mate dat er een waarschuwing wordt gegeven als zoiets optreedt.

Ik ken ARPon niet, maar het ziet er redeljk goed uit. Ik zou adviseren om het gewoon te downloaden, installeren en even te kijken wat dat doet als je ARP spoofing doet.

Peter

Het slechts toestaan van 1 MAC per poort beidt beveiliging, zeker in combinatie met een automatische 'shutdown' in het geval van meerdere MAC's. Cisco noemt dit 'port security', andere fabrikanten bieden ongetwijfeld gelijksoortige functies aan. Zie http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/port_sec.html#wp1042596 voor uitleg van Cisco.

Ik zou die instellingen niet gebruiken, zowel niet bij een klein als bij een groot bedrijf. Bij een klein bedrijf is de kans dat iemand snapt hoe je zoiets moet doen minimaal. Bovendien is de "schuldige" vrij snel gevonden. Die kan gelijk richting de UWV om een uitkering aan te vragen.

Bij grote bedrijven wil je het ook niet gebuiken vanwege regelmatige verhuizingen. En ook daar is de kans dat iemand zoiets doet minimaal. Misschien iets moeilijker om de 'dader' te vinden maar niet onmogelijk. En ook die kan z'n biezen pakken.

Soms is het makkelijker om je policy aan te passen dan een technische oplossing te gebruiken. Je moet namelijk niet vergeten dat je jezelf ook een berg administrative rompslomp op de nek haalt. En dat voor iets wat nauwelijks voorkomt.

Ik heb een failover configuratie egmaakt met een flaoting ip dat wisseld tussen 2 servers en dus van mac adres veranderd.
dit is een legetieme oplossing die zou worden geblokeerd als je beveiligd tegen ARP poisening

Err voor zover ik je begrijp gaat het over 2 fysieke servers waartussen je failover doet ?

Indien het zo is ... dan begrijp ik niet hoe anti-ARP poisoning hier ooit gaat tussenkomen .. aangezien het om een andere fysieke verbinding gaat op een andere poort (van de switch / router) ?
Tenzij jij een of ander apparaat hebt gebouwd dat de ethernet jack van de ene server eruitplugt en de jack van de andere erinschuift (zou trouwens gaaf zijn, pictures!) als failover, hebben beide servers ergens op je netwerk een plug die er constant insteekt, op een andere poort, en dus moet je gewone voor beide ethernet-poorten het juiste mac instellen.

Indien het gaat over failover tussen 2 vm's op 1 fysieke server ... mja ... dan zou je al je vm's er sowieso in moeten listen lijkt me zo.

http://en.wikipedia.org/wiki/Common_Address_Redundancy_Protocol

We have a winner!! Elf (11!) taal- en schrijffouten in twee regels tekst. Een absolute topper, zelfs hier op security.nl.

Voor de inhoud, zie DarkViewOfTheWorld.

Heb je echt niets beters te doen met je tijd? Inhoudelijk is dit een prima reactie.

Heel erg mee eens.
Op zich is in een 100%dhcp omgeving het nog wel te overwegen, omdat dan de configuratie éénmalig is.
Maar ook dan introduceer je een stukje beheersoverhead en ietwat lastiger troubleshooten wat in de meeste mkb/enterprise omgevingen gewoon niet de moeite waard is.

Alleen in een omgeving met semi-anonieme en eventueel malicious gebruikers zijn dit maatregelen die letterlijk de moeite waard zijn.
Als je een colo/hosting provider bent moet je hier wel over nadenken; Ook 'onbedoelde' acties [nono's die het default gateway adres als IP adres van hun bak intikken] geven overlast voor iedereen op het subnet.
Ook in studentenhuizen,practicum lokalen, bibliotheken, kortom, omgevingen met allerlei in-en uitlopende gebruikers en dan ook nog een groep die meer dan gemiddeld wil experimenteren moet je hier goed naar kijken.

Ik gebruik altijd port security, met maar 1 mac per poort. Gewoon zo instellen dat bij geen connectie de poort weer gereset wordt. Dan heb je helemaal geen problemen met verhuizen van aansluitingen. Tevens voorkom je dan ook dan er allemaal desktop switches en dergelijke in je netwerk worden gehangen.

Overigens kan iedereen die even de kabel uittrekt en er een wifi router achter hangt wel heel je netwerk openzetten ?

Of werkt het ding met een mac-list die toegelaten is maar zijn ze niet statisch aan 1 poort gebonden ?

Het feit dat je zelf de configuratie moet aanpassen wanneer er veranderingen gebeuren lijkt me net de drempel te zijn die je iets meer veiligheid geeft.

Daarmee heb je hooguit een desktop switch probleem opgelost, maar geen arp spoofing probleem.
Bij arp roept de vrager via een broadcast "wie is IP adres x.y.z.w" , om achter het ethernet mac adres te komen waar een bepaald IP zit.
Het idee is dat alleen de echte eigenaar van dat IP adres antwoord geeft (en daarmee zijn mac adres).

Als jij onterecht arp antwoorden (en gratuitous arps - ongevraagde antwoorden/updates) doe je dat met je eigen mac adres. (je geeft bijvoorbeeld antwoord als er ge-arpt wordt voor de default gateway).
En daar helpt port security van 1 mac per poort dus niet tegen.

Het bovenstaande houd in dat zodra er inbound op die port meer dan 1 source MAC address voorbij komt de port uitgeschakeld wordt.

We have another winner!! Deze nomineer ik tot domste reactie van de week.

Denk eens na voordat je mensen potentieel loopt te beledigen:http://nl.wikipedia.org/wiki/Dyslexie

Dan schakel je dus alleen switches / hubs uit en geen routers, halve oplossing dus imho

Informeer je eens voordat je over dyslexie begint. Dan zou je weten dat het patroon van fouten en wat er wel goed is de kans dat het om dyslexie gaat heel klein maakt. Je beledigt mensen ook door jezelf achter hun beperking te verschuilen.

Mocht je heel netjes al je MAC adressen op een soort van whitelist hebben staan kun je routers ook blokkeren. Maar dat is wel erg bewerkelijk.

Je zou kunnen filteren op meerdere IP-adressen per MAC...

mac adressen op een whitelist kun je nog steeds omzeilen door in de router het ge-whiteliste mac adres in te stellen.
Maar dat is precies waarom SirDice terecht zegt dat je sommige problemen beter in de policy kunt oplossen dan in de techniek.
Meerdere IP adressen per MAC is niet enorm gebruikelijk (die router doet dan proxy arp), maar erop filteren is geen standaard feature in de meeste switches (of routers).
En als de router gewoon NAT doet ben je weer terug naar 1 IP per mac zichtbaar.

Wil je technisch uit je dak gaan moet je all the way naar 802.1x en een hele backend riedel plus client setup.

Het verschil tussen een kabel in een simpele wifi router steken of in die router dan eerst je eigen mac te gaan zetten is anders wel al groot voor een standaard gebruiker.
Het is zeker geen complete oplossing, mits genoeg technishe kennis is er altijd wel een manier, maar met mac-whitelist is het gemakkelijk genoeg om de average user tegen te gaan van snel even een wifi router in te pluggen en je hele corporate netwerk open te zetten.

Je hebt duidelijk nooit in een "corporate network" omgeving gewerkt, want anders denk je echt niet dat het bijhouden van mac filters "gemakkelijk genoeg" is.
Dergelijke dingen zijn een behoorlijke nachtmerrie in een beetje grootschalige KA omgeving. Er zijn gewoon best veel Move/Add/Changes, je hebt te maken met laptops in meeting rooms, gewoon laptops (Het Nieuwe Werken is hip) nieuwe/kapotte/verhuisde PC's, en dat (terug) koppelen naar mac filters geeft een enorme overhead.
Niks mis met een beetje werkgelegenheid, maar met de normale verhouding van IT:gebruikers gaat dit echt niet.
IT moet al vaak genoeg "nee" en "storing" verkopen om dit er echt niet bij te kunnen doen.

En dan doe je het ook nog voor een bijna nutteloze feature die alleen de domme avarage gebruiker die zelfs geen slimme buurman kan vinden misschien even tegenhoudt.
Als je genoeg IT hebt rondlopen (letterlijk) om dit te supporten, trek je die AP's gewoon op het oog er al uit.
Maar dan nog zijn er veel effectiever manieren om die IT capaciteit in te zetten om ongeauthoriseerde eindstations te weren dan een mac filter; Ook het opsporen/blokkeren van rogue AP's kan handiger dan hopen dat ze buiten een mac whitelist vallen.

In een nogal kleine en behoorlijk statische omgeving is het misschien technisch te behappen, maar dat is ook het soort omgeving waar "IT" (aka de boekhouder) gewoon het hele bedrijf kent en toch wel weet wat er speelt.

Vlan'd open wifi voor bezoekers en laptops, en ons asset tracking systeem geeft je anders in een paar clicks wel mac lijsten gesorteerd per klant, en subgroep. Kwestie van juiste lijst naar juiste switch copy pasten bij een move.

EAP anyone ?

Is genoemd (door mij, donderdag 13:09) . Dwz, 802.1x als drager protocol. EAP zit daarboven laagje hoger in de netwerk stack.
Maar 802.1x is de eerste catchphrase/switch feature naam waar je naar moet kijken als je serieuze client authenticatie op poort niveau zoekt.

Misschien dat mensen dachten dat 802.1x alleen iets van wireless is, maar dat is dus niet zo.
Je moet er wel je IT organisatie/werkplek-rollout op inrichten omdat het werkstation de authenticatie in principe bij bootup al moet doen.