[fli4l] Netzwerk robuster gegen Störungen machen

Kay Martinen kay at martinen.de
Mo Sep 23 21:11:12 CEST 2013 

Am 23.09.2013 18:03, schrieb Jens Haberstroh:
> ich hatte hier:
> http://www.heise.de/security/artikel/Angriff-von-innen-270632.html 
> gelesen, dass man ein Netzwerk robuster machen kann, indem man die
> Hardwareadressen von einigen wenigen wichtigen Geräten per statischem
> ARP-Eintrag fest konfiguriert. Wo kann ich diese Einträge beim
> fli4l-Router vornehmen und wie gehe ich da am besten vor?

arp -h sagt (hier auf einem Eisfair-1)

Usage:
...
  arp [-v]   [<HW>] [-i <if>] -s  <hostname> <hwaddr> [temp][nopub]
<-Add entry
  arp [-v]   [<HW>] [-i <if>] -s  <hostname> <hwaddr> [netmask <nm>] pub
 <-''-
...

(BSD) style
        -s, --set                set a new ARP entry
...

am FLI nützt dir das aber nicht so viel. Auf den Clients ist es
sinnvoller. Der Befehl dazu (arp -s) steht auch im Artikel - neben
einigem mehr, z.b. Vlans ein zu richten - wenn der switch es kann.

Ich habe auch gute erfahrungen mit arpwatch gemacht. Das hab ich unter
debian genutzt. Das schickt dir dann z.b. mails dieser art:

new station

            hostname: <unknown>
          ip address: 192.168.x.yyy
           interface: eth0
    ethernet address: 0:xx:xx:xx:xx:xx
     ethernet vendor: Acer Technologies Corp. [Acer Counterpoint]
           timestamp: Thursday, July x, 2013 23:19:36 +0200

oder

new activity

            hostname: host.dom.tld
          ip address: 192.168.x.y
           interface: eth0
    ethernet address: 0:xx:xx:xx:xx:xx
     ethernet vendor: <unknown>
           timestamp: Thursday, July x, 2013 23:19:36 +0200
  previous timestamp: Tuesday, September yy, 2012 18:37:43 +0200
               delta: 296 days

oder

flip flop

            hostname: <unknown>
          ip address: 192.168.x.yy
           interface: eth0
    ethernet address: 0:xx:xx:xx:xx:xx
     ethernet vendor: Realtek Semiconductor Corp.
old ethernet address: 0:yy:yy:yy:yy:yy
 old ethernet vendor: <unknown>
           timestamp: Saturday, August x, 2013 18:02:37 +0200
  previous timestamp: Thursday, July yy, 2013 23:22:19 +0200
               delta: 15 days

oder

changed ethernet address

            hostname: <unknown>
          ip address: 192.168.x.yyy
           interface: eth0
    ethernet address: 0:xx:xx:xx:xx:xx
     ethernet vendor: <unknown>
old ethernet address: 0:yy:yy:yy:yy:yy
 old ethernet vendor: Elitegroup Computer System Co. (ECS)
           timestamp: Saturday, August x, 2013 18:04:28 +0200
  previous timestamp: Monday, August y, 2012 0:49:23 +0200
               delta: 362 days


Du kannst natürlich auch ein Intrusion Detection System einrichten o.a.
Die sollten sowas auch bemerken und melden.


Gruß
 Kay

Mehr Informationen über die Mailingliste Fli4L