Bonjour à tous,
Je ne vais pas revenir sur ce qu'est l'arp spoofing, mais j'aimerais avoir plusieurs avis sur comment s'en protéger.
En effet, détecter l'arp spoofing n'est pas très dur (broadcast arp, utilisation d'outils comme arpwatch etc...) mais l'empêcher niveau réseau est une autre affaire.
Quelque solutions existent déjà pour lutter contre ce phénomène :
- Faire de l'arp statique au niveau des machines (inenvisageable dans un réseau de grande taille).
- Utiliser des fonctionnalités offertes par certains commutateurs (exemple port security sur switch Cisco), bien que ça n'empêche pas l'arp cache poisoning, ca limite quand même quelques attaques (branchements clandestins ou usurpation mac). Le problème c'est que c'est lié à certains constructeurs en particulier.
- Préprocesseur Snort ARP et arpwatch : très bien mais ça ne fait que détecter (le fait de recevoir un mail n'empêchera en rien l'attaque).
Ma question est comment lutter efficacement contre l'arp spoofing au niveau d'une sonde Firewall/IDS placée à un endroit du réseau une fois que l'on a repéré la machine qui fait de l'arp spoofing?
Donc indépendamment du matériel actif utilisé et sans modifications sur les machines.
J'ai pensé à la solution d'isoler le traffic de la machine en question en retournant l'arp spoofing contre la machine qui lance l'attaque (avec un système de blacklist permettant d'éviter de bloquer les serveurs critiques). J'aimerai avoir des avis sur cette solution et surtout savoir si certains d'entre vous auraient une solution plus propre.
D'avance merci,
.webseb