Hier wird gerade verdammt viel durcheinander geworfen.
Selbst teure Cisco Switches auf Layer 3 Ebene können nicht verhindern, dass der gesamte Broadcast Raum mit Anfragen geflutet wird.
Bitte auch Mal auf die Cisco Website gehen und selbst lesen, anstatt auf Websites zu verweisen was absolut nichts mit der Sache zu tun hat. Im öffentlichen Raum ist es leider ein Problem womit man mit teuren Switches versucht, Anfragen zu reduzieren. Privat ist es mit Standard Router überhaupt nicht möglich, sich gegen Spoofing & Poisoning zu schützen. Eine effektive Möglichkeit stellen Linux-Boxen mit hostapd als IEEE 802.11 AP/IEEE 802.1X Authenticator da. Gestern habe ich die Einstellung der AP Isolation zum ersten Mal aktiviert. Vorteil, man ist gegen Poisoning und teils gegen Spoofing geschützt. Hostapd leitet somit keinerlei Daten von User zu User weiter. Will Rechner A was von Rechner B, muss es ohne Umwege an die WLAN Schnittstelle geleitet werden. Allerdings wird dir der AP eher den Stinkefinger zeigen anstatt Daten weiterzuleiten, ohne das der Admin es entsprechend eingerichtet hat. Das wäre wohl für viele ein Nachteil. Auch die Möglichkeit direkt über
CUPS auf die Druckerschnittstelle zuzugreifen, ist somit nicht mehr möglich. Heißt, hier können die User zwar auch weiterhin drucken, allerdings hat ab sofort der AP ein Wörtchen mitzureden. Reichte vorher
nur der CUPS-Server bzw. die Konfiguration um auf die Schnittstelle zuzugreifen, entscheidet ab sofort auch der AP wie zugegriffen werden soll. Mit anderen Worten .. Nicht der User druckt mit CUPS, sondern der
AP tut es ab sofort. Dafür benötigt jeder Rechner im Netz nur eine kleine Konfigurationsdatei in /home/user. Für Paranoiden gibt es noch weit striktere Lösungen z.B. eine virtuelle Schnittstelle die ich am PPP am laufen habe. War mir damals wichtiger als das interne Netz. Auch WPS wird nicht mehr funktionieren auch wenn manch einer es gerne so hätte. Wie man Spoofing Herr wird schrieb ich ja gestern schon. Durch das deaktivieren von ARP im Kernel und das anlegen von statische ARP Einträge wird Spoofing nichts mehr bringen. Auch schon deswegen weil ARP seinen Cache nicht mehr befüllen wird. Um auch Spoofing auf WPA zu minimieren bzw. ganz abzustellen, nutzt man entweder das neue WPA3 mit PMF Funktion, oder man stellt gleich auf Enterprise um. Meine Notebooks, Rechner laufen alle mit der höchsten Sicherheitsstufe EAP-TLS. Alles andere läuft nur mit PEAP incl Passphrase & geheime ID. Den Fernseher habe ich wieder angeschlossen und bin echt gespannt.
Wahnsinn, wie wenig ich vorgestern noch über ARP & .. wusste.