請問能防制無線網路Netcut的AP

[yuntian]

大家好：

在有線環境要防制ARP spoofing已經沒有問題，想請教大家在無線網路環境下，
如何防制ARP spoofing之類的攻擊？

我比較想從換基地台方面下手，因為使用者太多太雜(盡量不碰user電腦)。

目前環境大約70個AP，在Layer 3的設備有綁IP/MAC，DHCP也會發給每組MAC固定的IP，Layer 3 上的IP/MAC(含無線網路vlan的gateway)都是static的，但是在AP底下的ARP spoofing就管不到。

有測試過Aruba的設備，的確可過濾NetCut的攻擊封包，不過要更換到Aruba的架構，經費不知道什麼時候才爭取得到.....

想在目前Fat AP架構下，擴充或汰換AP時，能購買內建防制ARP spoofing的設備。

想請教大家，有這種功能的AP嗎？

AXIMCom的「靜態 ARP 位址(阻擋 NetCut)」不知道是用什麼原理，以及設定方式來阻擋NetCut?

懇請大家分享這方面的經驗，謝謝！

[門神]

應該是有Wireless vLan跟iSolation的都OK

[FYI]

AP Isolation, 不過這樣一來, 網芳可能就不通了, 小弟沒試過

[needmaster]

要看何謂IP&MAC 嗎,有多少種類嗎？
http://www.pczone.com.tw/vbb3/post/1054000/198/

可以試看看,如果不行就如上面兩位講的吧！

[yuntian]

謝謝大家的回覆。

不過我所有的AP都屬同一個VLAN，且沒有開啟NAT(因為要管控到每個MAC/使用者所使用的流量)，user也都會拿到同網段的IP。

假設開啟 iSolation，雖然AP底下的client不能互通，但會不會可以連到別台也有開啟iSolation 的AP底下的 client? 因為是透過兩台AP的有線網路？

麻煩指點一下囉，謝謝！

[FYI]

引用:

作者: yuntian

假設開啟 iSolation，雖然AP底下的client不能互通，但會不會可以連到別台也有開啟iSolation 的AP底下的 client? 因為是透過兩台AP的有線網路？

就小弟對於 "AP Isolation" 的瞭解, 應該只有禁止同一AP 之下的無線客戶端互通, 但任一無線客戶端可以和所有有線客戶端互通, 包含您所說的透過有線連接的另一台AP

[yuntian]

如果AP開啟isolation，連接AP的switch也開啟port isolation，來隔離各AP之間的通訊，應該就能徹底隔離所有無線的使用者囉？

看來我要先把連接AP的switch換成支援port isolation功能的，還有換掉早期不支援AP isolation的AP。

謝謝大家提供的資訊！

[FYI]

引用:

作者: yuntian

不過我所有的AP都屬同一個VLAN，且沒有開啟NAT(因為要管控到每個MAC/使用者所使用的流量)，user也都會拿到同網段的IP。

前一段小弟沒說清楚, 既然有VLAN, 那麼就只差無線的部份, 但由於你有70 個AP, 所以AP 也必須以VLAN 隔離, 而不是 "同一個" VLAN, 否則還是可以攻擊其他AP, 能否說明AP 的型號? 或許有機會更新韌體

不過話說回來, 小弟認為要癱瘓無線網路應該不會很困難吧! 是否只要攻擊AP 就可以辦到? 不一定得攻擊其他無線用戶, 所以小弟懷疑最後的成效會是如何? 是否先把AP 以VLAN 隔離, 把範圍控制住再說? 而且70 個AP 是個龐大的工程, 建議請業者幫你整體分析一下, 順便改進無線網路的效能

[yuntian]

FYI兄:

有一半的AP是Orinoco的，有支援Vlan、isolation。

目前和廠商討論結果:
1.預算夠: 換成Thin AP架構。
2.預算不夠:換掉沒支援Vlan、isolation的AP，以及調整架構、換成有port isolation的switch，讓AP之間也不能互通。

謝謝！

[FYI]

另一半是否名列DD-WRT & Tomato 支援名單之中?