Deepnine 10 Geschrieben 23. Januar 2006 Melden Geschrieben 23. Januar 2006 Hi, hab folgendes Problem: die statischen Einträge werden von dynamischen Überschrieben. Meine Googlesuche hat das Problem nur bei 2k Rechner ohne Hotfix gefunden. Bei den 2000 Clients geht das nicht, d.h. der Hotfix ist installiert. Nun hätte ich gern bei dem 2k3 Server das gleiche Verhalten. Danke Jan Zitieren
zahni 571 Geschrieben 23. Januar 2006 Melden Geschrieben 23. Januar 2006 Ähm, wozu genau braucht man statische ARP-Einträge ? Wenn die überschrieben werden, wird das schon seinen Grund haben. -Zahni Zitieren
Deepnine 10 Geschrieben 23. Januar 2006 Autor Melden Geschrieben 23. Januar 2006 Szenario: 1x W2k3 Domänencontroller 100 x Clients mit W2k 1x Proxy 1x Gateway Netzwerk: geswitched, ein Subnetzwerk. es sind noch ca 100 weitere Dosen im Haus verteilt, wo jeder sein Notebook einstecken kann. Das Problem: Es gibt Leute die machen sich einen Spass raus mit Tools wie Cain & Abel den Netzwerkverkehr zwischen Server und client umzuleiten. Daraus ergeben sich zwei Probleme: 1.) Es können Daten mit gesnifft werden. PAsswörter, Files, TANs, etc... >> Die Lösung hier wäre eine Verschlüsselung (zB IPSec) 2.) Wenn der Datenverkehr zwischen Server und ein paar Clients über eine 10 MBit Halbduplex Netzwerkkarte umgeleitet wird, bringt der 1Gbit Switch nicht wirklich viel. (10MBit Halbduplex = 5MBit > Als hin und zurück Leitung > 2,5 MBit für einen Filetransfer zum Server) Die Lösung: Die Umleitungen werden im geswitcheten Netzwerk per gefälschten ARP Packeten (ARP Spoofing) erzeugt. Die Lösung ist jetzt das wir dem Server und allen Clients ststische Einträge im ARP Cache geben, dadurch können diese nicht von dynamischen "gefälschten" überschrieben werden. So sollte die Theorie sein. Die Fragestellung: Bei w2k Clients geht es das man einen statischen Eintrag erzeugt, welcher nicht von dynamischen überschrieben wird. Beim 2k3 SErver geht das nicht, er verhält sich falsch. Es sollte nicht möglich sein, das ein statischer Eintrag von einem dynamischen überschrieben wird. Wenn die überschrieben werden, wird das schon seinen Grund haben. Naja ich sehe keinen auser das 2k3 einen Fehler hat. Fakt ist laut Spezifikation dürfte das nicht passieren. Wichtig: Nachdem ein statischer Eintrag erzeugt worden ist, taucht parallel dazu ein dynamischer mit der gleichen Mac und Ip auf. Zitieren
grizzly999 11 Geschrieben 23. Januar 2006 Melden Geschrieben 23. Januar 2006 Ich habe es noch nicht getestet. Ist denn SP1 auf den 2003 Servern? Möglicherweise ein noch nicht gefixter Bug. bei XPSP1 gibt es einen Hotfix dazu, in SP2 ist der bereits drin: http://support.microsoft.com/kb/842169/en-us (Wurde BTW auch bei 2000 per Hotfix bereinigt http://support.microsoft.com/kb/842168/en-us) Ich würde da evtl. einen Call bei Microsoft aufmachen grizzly999 Zitieren
Deepnine 10 Geschrieben 23. Januar 2006 Autor Melden Geschrieben 23. Januar 2006 Kann es was mit dem Knotentyp zu tun haben? Hab jetzt von 8 auf 2 und zurück geändert. Und jetzt gehts. Aber leider kann ich den Fehler nicht reproduzieren. Und das mag ich net. Nicht das es aufeinaml wieder kommt und dann schauen wir in die Röhre und wissen es nicht mal. Hotfixes sind alle drauf. Zitieren
grizzly999 11 Geschrieben 23. Januar 2006 Melden Geschrieben 23. Januar 2006 Mit an Sicherheit grenzender Wahrscheinlicheit liegt's nicht am Knotentyp, der hat damit nichts zu tun. Weiss der Kuckuck ... Aber: wenn das für Euch ein reales Problem ist (ARP-Poisoning und ARP-Spoofing), dann wäre aus meiner Sicht der korrekte Weg nicht über so eine "windige" Sache wie statische MAC-Einträge, die nur im flüchtigen Arbeitsspeicher rumlungern, mit einfachen Tools ausgehebelt werden können, und wie man sieht auch teilw. Fixes benötigt. Dann kommt eigentlich nur der Einsatz von IPSec in Frage, webigeer zur Verschlüsselung, sondern mittels AH zur Datenintegrität. grizzly999 Zitieren
Deepnine 10 Geschrieben 23. Januar 2006 Autor Melden Geschrieben 23. Januar 2006 IPsec haben wir uns auch überlegt und wird wars***einlich auch noch kommen, aber das größere Problem ist das man mit den Umleitungen das Netzwerk ganz einfach lahmlegt. Und soweit ich verstanden habe ist man davor auch mit IPSec nicht gewappnet. Es handelt sich um ein Schulnetzwerk und den Schülern reicht es wenn die Clients sich nicht mehr an der Domäne anmelden, dann gibt schulfrei. :-) Zitieren
grizzly999 11 Geschrieben 23. Januar 2006 Melden Geschrieben 23. Januar 2006 Es handelt sich um ein Schulnetzwerk und den Schülern reicht es wenn die Clients sich nicht mehr an der Domäne anmelden, dann gibt schulfrei. :-) Nee, dann gibt's Paddel :D :D :D IPSec hilft nicht dagegen, das stimmt, nur gegen Man in the Middle Attacks u.ä. aufgrund von ARP_Spoofing und Poisoning grizzly999 Zitieren
Deepnine 10 Geschrieben 23. Januar 2006 Autor Melden Geschrieben 23. Januar 2006 gibt es eigendlich Möglichkeiten gegen ARP_Spoofing und Poisoning Attacken? Wie schaffen es Hoster wie Puretec? Bei denen ging es ja eine zeitlang aber jetzt angeblich nicht mehr. Zitieren
Champ 10 Geschrieben 24. Januar 2006 Melden Geschrieben 24. Januar 2006 Hey Port-Security - Intelligente Switches (managed Switches), wobei der Switch jede Mac nur einmal "lernt" und dann keinen anderen Absender mehr akzeptiert. Sollte aber auch mir NAT funktionieren By Champ PS: http://www.3mfuture.com/network_security/arp-guard-arp-spoofing.htm Zitieren
zahni 571 Geschrieben 24. Januar 2006 Melden Geschrieben 24. Januar 2006 Eigentlich würde ich solche Leute zu 5 Jahre Hartz IV verdonnern... -Zahni Zitieren
Deepnine 10 Geschrieben 25. Januar 2006 Autor Melden Geschrieben 25. Januar 2006 Zu den gemanageden Switches: das Problem ist, das ne MAC fälschen so leicht ist, das es fast nix bringt. Es gibt schon oneButton Tools für sowas. Zitieren
czappb 10 Geschrieben 25. Januar 2006 Melden Geschrieben 25. Januar 2006 Ich würde ja vorschlagen einfach das Netz in dem sich die Schüler mit den Clients auf denen sie installieren dürfen physikalisch(oder VLAN) mäßig von dem Netz zu trennen in dem sich vertrauenswürdige Computer befinden. Ich hoffe nicht das es irgendwelchen Schülern möglich ist überall Software zu installieren! :eek: Naja dann können die Schüler sich schön gegenseitig lahmlegen und dir geht's am a... vorbei ;) Zitieren
BuzzeR 10 Geschrieben 25. Januar 2006 Melden Geschrieben 25. Januar 2006 Hallo zusammen. Geeignete Schutzmaßnahmen gibt es da nicht viele, da ARP an sich das nicht vorsieht. Einzige Möglichkeiten sind Layer3 - Switches, die IP/MAC - FilpFlops erkennen und unterbinden. Des weiteren halt statische ARP-Tables, und ständige Kontrolle der ARP-Einträge (was einen nicht hinzunehmenden Aufwand bedeutet). Letzteres kann allerdings auch mit Tools realisiert werden. Noch wäre zu nennen, dass geeignetes Subnetting eingeführt wird, da in diesen der Router die Auflösung MAC <-> IP für die jeweiligen Clients der Subnetze übernimmt und somit der Router entsprechend "gehärtet" sein sollte. Was natürlich Angriffe im eigenen Subnetz nicht betrifft. Eine strikte Abgrenzung von öffentlich zugänglichen Clients zum funktionalen Backend (Serverfarm) ist natürlich ein sinnvoller Weg - siehe Router / Switches. LG Marco Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.