Cómo prevenir eficazmente los ataques ARP

La discusión sobre este tema ha sido muy profunda, el mecanismo de los ataques ARP se comprende bien y han surgido varias medidas preventivas sin cesar. Pero la pregunta es: ¿estamos realmente libres de problemas de ARP ahora? Los usuarios han aprendido que, aunque se han probado varios métodos, este problema no se ha resuelto fundamentalmente. La razón es que actualmente existen muchas medidas de prevención de ARP. En primer lugar, las capacidades de prevención de las soluciones son limitadas y no son la solución más fundamental. En segundo lugar, impone grandes limitaciones a la gestión de la red, es inconveniente, poco práctico y no operable. En tercer lugar, algunas medidas provocarán una pérdida del rendimiento de transmisión de la red, ralentizarán la velocidad de la red y desperdiciarán ancho de banda, lo cual no es aconsejable. Este artículo proporciona un análisis detallado de cuatro medidas comúnmente utilizadas para prevenir ARP y comprender por qué el problema de ARP no se puede solucionar. Artículo anterior: Análisis de cuatro medidas comunes para prevenir ARP 1. Medidas de doble enlace El doble enlace es una medida para realizar el enlace IP-MAC tanto en el enrutador como en el terminal. Puede falsificar ARP en ambos lados, falsificar puertas de enlace e interceptar datos. . El papel de las limitaciones. Esta es una medida preventiva basada en el principio de suplantación de identidad de ARP y también es el método más utilizado. Es eficaz contra la suplantación de identidad ARP más común. Sin embargo, las desventajas del doble enlace residen en tres puntos: 1. El enlace estático realizado en el terminal puede destruirse fácilmente mediante un ataque ARP actualizado. Un comando ARP-d del virus puede invalidar completamente el enlace estático. 2. Vincular la tabla IP-MAC en el enrutador requiere mucho tiempo y trabajo, y es una tarea de mantenimiento tediosa. Cambiar la tarjeta de red o cambiar la IP requiere reconfigurar el enrutamiento. Para las computadoras móviles, este trabajo vinculante que debe realizarse en cualquier momento representa una carga enorme para el mantenimiento de la red y es casi imposible de completar para los administradores de la red. 3. El doble enlace solo evita que las computadoras y enrutadores en ambos extremos de la red reciban información ARP relevante, pero aún se pueden enviar una gran cantidad de datos de ataque ARP y deben transmitirse a la intranet, lo que reduce en gran medida la eficiencia de La transmisión de intranet y los problemas seguirán ocurriendo. Por lo tanto, aunque el doble vínculo alguna vez fue una medida básica para la prevención de ARP, su efectividad ahora es cada vez más limitada debido a las capacidades de prevención limitadas y a los demasiados problemas de gestión. 2. ARP Personal Firewall ha agregado la función ARP Personal Firewall a algunos programas antivirus. Vincula la puerta de enlace en la computadora terminal para garantizar que no se vea afectada por puertas de enlace falsas en la red, protegiendo así sus propios datos contra el robo. . Los firewalls ARP se utilizan ampliamente. Mucha gente piensa que con un firewall los ataques ARP no representan una amenaza. El firewall personal ARP también tiene fallas importantes: 1. No puede garantizar que la puerta de enlace vinculada sea correcta. Si se ha producido una suplantación de ARP en una red y alguien está falsificando una puerta de enlace, entonces el firewall personal ARP estará vinculado a la puerta de enlace equivocada, lo cual es extremadamente riesgoso. Incluso si la configuración no emite un mensaje de forma predeterminada, los usuarios que carecen de conocimientos de red pueden sentirse perdidos. 2. ARP es un problema en la red. ARP puede falsificar puertas de enlace e interceptar datos. Es un "monstruo de dos cabezas". Implementar la prevención ARP en terminales personales, independientemente del extremo de la puerta de enlace, no es una solución completa en sí misma. La función del firewall personal ARP es evitar que le roben sus datos. Sin embargo, el firewall personal ARP no puede resolver problemas en toda la red, como desconexiones y retrasos. Por lo tanto, ARP Personal Firewall no ofrece garantías confiables. Lo más importante es que es una medida que no tiene nada que ver con la estabilidad de la red. Es personal, no de red. 3. Vinculación de VLAN y puerto de conmutador También es un método de prevención común para evitar ARP dividiendo la VLAN y la vinculación de puerto de conmutador. El método consiste en dividir la VLAN con cuidado y reducir el alcance del dominio de transmisión para que ARP pueda funcionar en un área pequeña sin causar un impacto a gran escala. Al mismo tiempo, algunos conmutadores administrados por red tienen una función de aprendizaje de direcciones MAC. Una vez completado el aprendizaje, si desactiva esta función, puede vincular la MAC y el puerto correspondientes, evitando que los virus utilicen ataques ARP para alterar sus propias direcciones. . En otras palabras, se elimina el riesgo de datos interceptados en ataques ARP. Este enfoque funciona hasta cierto punto. Sin embargo, los problemas con la vinculación de la VLAN y el puerto del switch son: 1. No hay protección para la puerta de enlace No importa cómo se subdivida la VLAN, una vez que la puerta de enlace es atacada, toda la red se desconectará y paralizará. 2. Fije cada computadora firmemente a un puerto de conmutador. Este tipo de administración es demasiado rígida. Esto no es adecuado en absoluto para el uso de terminales móviles Desde la oficina hasta la sala de conferencias, es posible que esta computadora no pueda acceder a Internet. ¿Qué debemos hacer en las aplicaciones inalámbricas? Todavía necesito otros métodos.

3. Para implementar la vinculación de puertos del conmutador, se deben utilizar todos los conmutadores administrados de red avanzados y conmutadores de tres capas, lo que aumenta considerablemente el costo de toda la red de conmutación. Debido a que la propia red de conmutación admite incondicionalmente las operaciones ARP, sus propias vulnerabilidades provocan la posibilidad de ataques ARP y los métodos de gestión que contiene no están dirigidos a ARP. Por lo tanto, implementar medidas de prevención de ARP en la red de conmutación existente es usar una lanza para atacar un escudo. Además, la operación y el mantenimiento son complicados y básicamente una tarea ingrata. 4. En la red PPPoE, a cada usuario se le asigna una cuenta y una contraseña, y debe pasar la autenticación PPPoE cuando navega por Internet. Este método también es una medida para evitar ARP. El método de acceso telefónico PPPoE vuelve a encapsular el paquete, por lo que no se ve afectado por la suplantación de ARP. Mucha gente cree que ha encontrado la solución definitiva al problema de ARP. Los problemas se centran principalmente en la eficiencia y la practicidad: 1. PPPoE necesita volver a encapsular el paquete y luego desencapsularlo en el dispositivo de acceso, lo que inevitablemente reducirá la eficiencia de transmisión de la red y provocará un desperdicio de recursos de ancho de banda. Debe conocer el enrutamiento y la practicidad. otros equipos El rendimiento de procesamiento al agregar un servidor PPPoE no es del mismo orden de magnitud que el del servidor PPPoE de un proveedor de acceso a telecomunicaciones. 2. En el modo PPPoE, las LAN no pueden acceder entre sí. Muchas redes tienen servidores de control de dominio, servidores DNS, servidores de correo, sistemas OA, intercambio de datos, uso compartido de impresiones, etc. dentro de la LAN, lo que requiere acceso mutuo entre las LAN. y el método PPPoE hace que todo esto sea inutilizable e inaceptable. 3. Sin usar PPPoE, al acceder a la intranet, el problema de ARP aún existe, no se ha resuelto nada y la estabilidad de la red aún no es buena. Por lo tanto, PPPoE técnicamente evita la conexión del protocolo subyacente, fuera de la vista, fuera de la mente, y sacrifica la eficiencia de la red por la estabilidad de la red. Lo más inaceptable es que la red solo se puede utilizar en línea y no se pueden realizar otros intercambios internos bajo PPPoE. A través del análisis de los cuatro métodos comunes de prevención de ARP anteriores, podemos ver que existen problemas con las medidas de prevención de ARP existentes. Es por eso que, aunque ARP se ha estudiado a fondo durante mucho tiempo, todavía no se puede resolver por completo en la práctica. Artículo siguiente: La red inmune es la forma más fundamental de resolver ARP. Siempre hay una manera de resolver problemas de red. Se deben utilizar métodos de red para resolver problemas de red. En la actualidad, la red inmune promovida por Xin Quanxiang es la forma más práctica de resolver por completo el problema de ARP. Desde un principio técnico, existen tres puntos técnicos para resolver completamente los ataques y suplantaciones de ARP. 1. La unión del terminal a la puerta de enlace debe ser sólida y fiable, y esta unión puede resistir la destrucción por virus. 2. El router o gateway de acceso deberá garantizar siempre la identificación única y precisa del IP-MAC de los siguientes terminales. 3. Debe haber una organización más confiable en la red para brindar la protección más poderosa para la puerta de enlace IP-MAC. No sólo puede distribuir información de puerta de enlace correcta, sino que también puede bloquear inmediatamente la información de puerta de enlace falsa que aparece. Immune Network tiene soluciones técnicas especializadas para estos tres problemas, y estas tecnologías están patentadas por el fabricante Xin Quanxiang. Explicaremos esto en detalle a continuación. Ahora, primero daremos una breve introducción a la estructura e implementación de la red inmune. La red inmune consiste en agregar un conjunto de soluciones de seguridad y administración a la red de conmutación ordinaria existente compuesta por enrutadores, conmutadores, tarjetas de red y cables de red. De esta manera, los mecanismos de seguridad y gestión se integran en las comunicaciones de red ordinarias, garantizando la capacidad de controlar la seguridad durante las comunicaciones de red y tapando las lagunas inherentes en las redes ordinarias que nunca se ponen a la defensiva en materia de seguridad. La estructura de la red inmune Implementar una red inmune no es un asunto muy complicado y el costo no es alto. Todo lo que tiene que hacer es reemplazar el equipo de acceso de banda ancha existente con un enrutador de pared inmune o una puerta de enlace inmune. Debajo del enrutador de la pared inmune, debe preparar un servidor para ejecutar el centro de operaciones inmune las 24 horas del día. La puerta de enlace inmune no es necesaria, tiene su propio servidor. Esta es la medida de ajuste de hardware que requiere la solución. Los ajustes suaves de la red incluyen trabajos de configuración e instalación, como planificación de IP, estrategias de agrupación e instalación automática de controladores de Internet en terminales para garantizar que toda la función de administración de seguridad funcione de manera efectiva. De hecho, esta parte del trabajo no es muy diferente de la gestión diaria de la red por parte del administrador de la red. El centro de monitoreo de la red inmune. La red inmune tiene poderosas funciones básicas de administración y seguridad de la red, y su capacidad para prevenir ARP es solo menos de una décima parte de su capacidad. Pero este artículo trata sobre problemas de ARP, por lo que debemos volver atrás y explicar específicamente el mecanismo de la red inmune para prevenir ataques y suplantaciones de ARP. En cuanto a que la red inmune sea más poderosa, podemos realizar más investigaciones.

La red inmune adopta medios técnicos especializados para los tres puntos técnicos mencionados anteriormente para abordar el problema de ARP: enlace de terminal, puerta de enlace y organización. 1. La unión de terminales adopta tecnología de unión de protección. La red inmune requiere que cada terminal instale automáticamente el controlador. Si no está instalado o desinstalado, no podrá acceder a Internet. La vinculación de guardia en el controlador es almacenar la información de la puerta de enlace correcta en una ubicación no pública para su protección. Cualquier cambio en la información de la puerta de enlace no tendrá éxito debido a la estricta supervisión del programa de vigilancia. Esto completa los Requisitos para la vinculación del terminal. ser firme y confiable. 2. Tecnología de inmunidad innata ARP de enrutador de pared inmune o puerta de enlace inmune. Durante el proceso de reenvío NAT, debido a la adición de un mecanismo especial, el enrutador de pared inmune simplemente ignora cualquier declaración ARP del terminal IP-MAC. En otras palabras, nadie puede engañar a la puerta de enlace. A diferencia de otros enrutadores, el enrutador de pared inmune no funciona utilizando una lista IP-MAC y, por supuesto, no requiere operaciones engorrosas de mantenimiento y vinculación de tablas IP-MAC del enrutador. La inmunidad innata tiene esta capacidad incluso si no te importa.