Dies ist eine sehr einfache Frage. Wir wissen, dass das ARP-Protokoll überhaupt nicht sicher ist. Computer und Router (/Switches) vertrauen auf ARP-Antworten und aktualisieren ihre ARP-Caches (soweit ich weiß). Warum können drahtlose Router ARP-Spoofing also nicht erkennen, wenn sie nur überprüfen müssen, ob zwei oder mehr Schnittstellen in ihrem MAC-Cache dieselbe MAC-Adresse haben?
Übersehe ich sonst noch etwas?
Antwort1
Vor allem, weil es keine einfache Lösung ist, dies zu verhindern. Sofern der WLAN-Router nicht mit zusätzlicher Sicherheitssoftware ausgestattet ist, kann der Router nicht bestätigen, dass Sie die Person sind, für die Sie sich ausgeben. Er muss lediglich die Pakete akzeptieren, die er sieht, und sicherstellen, dass die Maschine diejenige ist, die sie vorgibt zu sein.
Die wichtigste Methode, um ARP-Spoofing zu verhindern, ist die Netzwerkzugriffskontrolle. Router A erhält ein Konto mit Benutzername/Passwort für Maschine A. Wenn Maschine A versucht, eine Verbindung herzustellen, muss sie diesen Benutzernamen/dieses Passwort angeben. Der Router weiß nun, dass die MAC-Adresse für Maschine A durch den Benutzernamen/das Passwort autorisiert ist, und Maschine A weiß, dass der MAC von Router A authentifiziert ist. Hacker-Maschine B kommt vorbei und versucht, einen ARP-Spoof durchzuführen, aber Router A erhält das Authentifizierungstoken von Hacker-Maschine A nicht, behandelt es also als ungültiges Paket und verwirft das ARP-Update. Dasselbe passiert mit Maschine A, sie erhält das ARP-Update von Hacker-Maschine B, aber das Paket ist nicht authentifiziert und wird daher verworfen.
Ohne diese Authentifizierung kann ein Standardrouter nicht erkennen, dass es sich bei Maschine A tatsächlich um Maschine A und nicht um Hacker-Maschine B handelt.
Diese zusätzliche Authentifizierung für jedes Paket erfordert zusätzliche Prozessorleistung. Damit der Router das bewältigen kann, muss er einen besseren Prozessor und mehr Speicher haben, was ihn teurer macht und die Wahrscheinlichkeit verringert, dass er gewählt wird, wenn die Leute nur auf den Preis achten.
Antwort2
Bei Wireless-Routern teilen sich die LAN-Ports und das Wireless-Radio häufig dieselben Tabellen und sind logisch zu einer Schnittstelle kombiniert. (Der Router fungiert also eher als Hub, wenn er den Verkehr zwischen dem LAN und dem Wireless-Netzwerk weiterleitet.)
Bei einer externen (WAN-)Schnittstelle handelt es sich normalerweise um eine Punkt-zu-Punkt-Schnittstelle (eine Leitung verbindet sich mit einem anderen Router). Aus Sicht des WLAN-Routers gibt es daher auf der anderen Seite dieser Schnittstelle nur eine IP/einen Mac.
Darüber hinaus ist es durchaus möglich, dass eine MAC-Adresse über mehrere IP-Adressen verfügt, und bei Lastausgleichskonfigurationen ist es auch möglich, dass eine IP-Adresse von mehreren Computern gemeinsam genutzt wird.