Zabezpečení proti útokům z LAN (DNS snooping, ARP spoofing)

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Téma Majitelé routerů / Technická podpora / Zabezpečení proti útokům z LAN (DNS snooping, ARP spoofing)

Od rene.kliment (>)

Dne 2016-04-23 13:34

Ahoj. Rád bych se zeptal na věc, kterou mám již déle v TODO listu a nepodařilo se mi vygooglit odpovídající řešení.

Jde na Turrisu, nebo obecně OpenWRT routerech zabránit DNS snoopingu, či ARP spoofingu?

Napadá mě, že obecně ne, jelikož zařízení připojená kabelem spolu budou komunikovat jen po switchi, vlastně mimo systém a switche ve Wi-Fi krabičkách jsou hloupé a takové věci jako ochrany před útoky neimplementují. Jít by to mohlo alespoň mezi zařízeními připojenými kabelem / bezdrátem.

Má s tímto někdo zkušenosti?

Děkuji za rady.
René Kliment

Od miska

Dne 2016-04-23 17:04

No teoreticky si z toho switche muzes vyvest vsechny porty jako VLANy primo do systemu, dat si je do bridge a pak nad nima uz delat libovolnej firewall pres iptables/ebtables a omezit port treba jen na jednu konkretni IP a cokoliv jinyho zablokovat. Bude to asi pomalejsi, ale budes to mit vic pod kontrolou.

Od rene.kliment (>)

Dne 2016-04-30 08:59

To je super nápad s těma VLANama!