どのデバイスがARPテーブルエントリの永続的な追加をサポートしていますか?これを管理するために利用できるツールは何ですか?
永続的なARPテーブルエントリを使用して、ワイヤレスセキュリティおよびその他の特定のオンネットセキュリティシナリオを改善したいと思います。同じサブネットまたはWiFiネットワーク上の誰かが、私のアクセスポイントをスプーフィングするのがより困難になるという考えです。
どのクライアントが永続的なARPエントリの機能をサポート/サポートしていませんか?
この構成の構成、展開、および更新を一元化するにはどうすればよいですか?
「静的」ARPエントリは、「永続的」よりも一般的に使用される用語です。グーグルなどの場合は、これを知っておく必要があります。
静的ARPエントリは、ARPポイズニング/スプーフィングに対する保護を提供します。ただし、ARPスプーフィングを実行する立場にある人は、MACスプーフィングを実行してほぼ同じ効果を達成し、静的ARPエントリがもたらす障害を克服することもできます。これにより、この保護を導入することの相対的な価値が低下します。
WindowsとUnixの両方で、静的arpエントリは、@ chrisが指摘しているように、スクリプトから呼び出されることが多いコマンドラインツール「arp」を使用して構成されます。たとえば、グループポリシーのような簡単な分散管理メカニズムを見つけることはできません。一元化された構成用のツール(puppet、cfengine、BladeLogic)がすでに用意されていない限り、手作業で立ち往生しています。この保護が魅力的でないもう1つの理由は。
私の意見では、静的ARPエントリは低レベルのセキュリティ手順であり、利点は限られており、管理が面倒であり、動的ネットワークの動作方法を上書きすると、ある時点でMACに巻き込まれます。あなたの時間とエネルギーを過ごすためのより良い場所があります。
ARPテーブルはデバイスのRAMにあるため、永続的ではありません。
ただし、実行時にそれらを追加し、デバイスの再起動時にそれらを再度追加するスクリプトを作成できます。 Linuxでは、「arp」ツールを使用して静的エントリを追加できます(arp-s)。たとえば、Debianベースのシステムの/etc/network/if-pre-up.d/arpスクリプトにarpコマンドを組み込むことができます。起動中に実行されるコマンドを追加する方法は、プラットフォームによって異なります。
永続的なARPキャッシュを管理できるGPオブジェクトはありません。 Windows XPの場合、ARPエントリを追加できるログオンスクリプトを使用できます。
ただし、Windows 7および2008では、管理者権限のみがARPエントリを追加できるため、要件を満たす方法はありません。
永続的なARPエントリを追加するコマンドは次のとおりです。
ARP -s inet_addr eth_addr [if_addr]