ARP spoofing: Porovnání verzí

Smazaný obsah Přidaný obsah
trochu přeuspořádáno
→‎Zabezpečení portů switche: Oprava, pardon, špatně jsem se předtím informoval
Řádek 20:
 
=== Zabezpečení portů switche ===
Útoku lze předejít za pomocí L3 switche zapnutím funkce '''Dynamic ARP Inspection'''. Switch pak sleduje DHCP komunikaci a zjišťuje tak, jaké IP adresy byly přiděleny stanicím na daných portech. Zahazuje pak neoprávněné ARP odpovědi.
Určitou míru bezpečnosti může z hlediska obrany proti ARP spoofingu přinášet zabezpečení portů switche pomocí protokolu [[IEEE 802.1X]]. Ten však brání útoku jen ze strany útočníků, kteří nejsou oprávněnými uživateli sítě. Je-li útočník oprávněným uživatelem sítě (nebo jde např. o mallware běžící na oprávněném počítači), tento způsob zabezpečení mu v ARP spoofingu ani jiném útoku nijak nebrání.
Vylepšenou variantou funkce je '''IP Source Guard''', která nezahazuje jen ARP odpovědi, ale veškterý provoz s neoprávněnou IP adresou odesílatele (s vyjímkou DHCP, které je k získání IP nutné).
 
Aby obě funkce skutečně bránily útoku, je nutné zabránit také vytváření neoprávněných DHCP serverů (tzv. DHCP spoofingu) zapnutím funkce '''DHCP snooping'''u. Ta umožňuje stanovit porty, za kterými se může necházet DHCP server. Pokusí-li se některý počítač připojený skrze jiný port provozovat DHCP server, příslušné komunikaci bude na úrovni switche zabráněno.
 
=== Software detekující ARP spoofing ===