RADIUSサーバーはARPスプーフィング攻撃を緩和できますか?
私の学校のネットワーク管理者が、wifiネットワークへの現在のARPスプーフィング攻撃を緩和する方法を見つける手助けをしています。不明なホストを検出しました(MACアドレスは変更されているようです。彼はおそらくmac-changerなどを使用しています)偽造ARPをネットワークに送信しています。
いくつかの議論の後、私たちはfreeradius認証サーバーを使用して、誰が攻撃の起点にいるかを簡単に発見できるようにすることに同意します。
しかし、私はセキュリティスペシャリスト(マニアのみ)ではなく、Radiusプロトコルについてよく知らないので、freeradiusサーバーが別のARPスプーフィング攻撃を緩和できるかどうか疑問に思いました(いつか別の学生がこの種の再び攻撃する)、そしてそれを行うように構成する方法。
番号。
実際のシナリオの例を紹介しましょう。 RADIUSの管理に JumpCloud を使用するとします。ユーザーを作成する必要があります。それらのユーザーは、JumpCloudのユーザー名/パスワードを使用してログインします。ユーザーの中に不快な従業員/学生がログインした場合、そのユーザーがログインした後もARPスプーフィング攻撃を実行できるため、とにかく調査する必要があります。
調査中に、ARPスプーフィングがMACアドレス10.58.0.240を使用してIPアドレス98:01:a7:b3:7e:efから送信されていることがわかりますが、そのマシンがAlice、Bob、Mikeなどによってネットワークに接続されていたかどうかはわかりません。 ..
したがって、誰が嫌な従業員/学生であるかはわかりません。
EDIT:対策は次のとおりです:ハードウェアであるIDS(侵入検知システム)をセットアップします( Barracuda )または、ARPスプーフィングを実行しているマシンをネットワークからプッシュするソフトウェア( Snort 、 Suricarta ))。