Jump to content

Mikrotik и ARP спуфинг

alexbestalex13

By alexbestalex13
in Mikrotik Wireless

 Share

Recommended Posts

alexbestalex13

alexbestalex13

Posted
Posted (edited)

Всем привет. Решил поэкспериментировать с защитой сети.Сам я только учусь и решил обратиться к вам за помощью.

Хочу защитить сеть от ARP спуфинга путем подписи пакетов или же их шифрованием .
Есть микрот RB1100AH и локальная сеть 10.1.0.0/24
Клиентские машины на WIN10

Создал политику ip безопасности (как на скриншоте)(транспортный режим)

333.thumb.PNG.1fc418693ff7836059baaa329eabe661.PNG

 

На микроте:

Создал пир для одной машины с адресом 10.1.0.84

Создал полис scr 0.0.0.0/0 dst 10.1.0.84

 

Пакеты ESP пакеты ходят между 10.1.0.1 10.1.0.84 .Но почему работает только связь межу микротом и компом а в WAN пакеты не ходят ? В какую сторону смотреть ?

Edited by alexbestalex13
добавление
Saab95

Saab95

Posted
Posted

Наверное компьютер при запросе на не существующий адрес в сети, должен запросы на микротик отправлять? А микротик должен знать куда отвечать.

Лучше напишите для чего все это делаете, что бы абоненты не могли руками себе чужой IP адрес поставить? Это решается привязкой IP к ARP средствами микротика, например, или управляемым оборудованием, где все абоненты изолированы.

alexbestalex13

alexbestalex13

Posted
  • Author
Posted
1 час назад, Saab95 сказал:

Наверное компьютер при запросе на не существующий адрес в сети, должен запросы на микротик отправлять? А микротик должен знать куда отвечать.

Лучше напишите для чего все это делаете, что бы абоненты не могли руками себе чужой IP адрес поставить? Это решается привязкой IP к ARP средствами микротика, например, или управляемым оборудованием, где все абоненты изолированы.

Для защиты от спуфинга. Так компьютер 10.1.0.84 отправляет же запросы на микротик (10.1.0.1).

sheft

sheft

Posted
Posted
3 часа назад, Saab95 сказал:

Это решается привязкой IP к ARP средствами микротика, например, или управляемым оборудованием, где все абоненты изолированы.

гхм, может это только у меня так, но при статических arp записях микротик со временем начинает флудить unknown unicast'ами, клиент машинку выключает а трафик предназначенный ему микротик продолжает слать, и коммутаторы начинают слать его по всем портам.. (для себя слепил костыль - зарезал неизвестный юникаст на коммутаторе на порту микротика)

alexbestalex13

alexbestalex13

Posted
  • Author
Posted (edited)
4 часа назад, Saab95 сказал:

Что бы такого не было нужно на порту в сторону абонентов указать в настройках arp - reply only, вы так сделали?

Да , сделал. Но hping3 все равно меняет гетвей в сети)

Edited by alexbestalex13
Saab95

Saab95

Posted
Posted

Мы уже давно ушли от L2 сетей. Если даже локалки в офисах делаем, то берем железку микротика с нужным количеством портов, прибиваем абонентов по IP к своему порту и все, через прокси арп они между собой данными обмениваются с масками /24.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.