NETGEAR is aware of a growing number of phone and online scams. To learn how to stay safe click here.
Forum Discussion
GS110EMX ARP poison problem
Hi, I couldn't believe my eyes when I saw an ARP request from the management port (port 1) on vlan4 of my router when tracing another device. port 1 and vlan 4 are not bonded on my switch but I...
OK I have confirmed that I see these ARP's on other vlans too. I'm wondering if I've done something wrong in the config. To show the community what I have in terms of VLANS's I made screenshots:
So on VLAN 4 and 5 (confirmed) I see traffic from VLAN 24, I assume that on vlan5 I can also poison vlan 24 from vlan 5 although I haven't tried that (only on vlan 4).
I run the latest firmware. Either my config is messed up or this is indeed a problem with the switch(es). I realise that port 1 is the only member of vlan 24 and thus the switch may broadcast all ports with this, how would I stop that though?
The router has 3 interfaces, one dedicated to port 1, one uplink and one that has vlan 5 untagged and a bunch of tagged ones. There should be no leakage of ARP.
Any suggestions welcome.
I get it, and I'm scared of this switch now. One can give it ARP answers that an IP is at FF:FF.FF:FF:FF:FF (broadcast) and it will reply through the switch fabric as I hav e seen with a packet dumper. This function is dangerous, if my router didn't have anti-spoof filters I think it could be used to do covert messaging between vlans, although I haven't thought this out fully. My router played weird too after the switch started writing to broadcast for an IP. For a while it was DUP'ing after I had restored it.
I don't expect Netgear to fix this, but I'm poor as hell and don't have too many switches around here, I'm stuck.
Dear Customer,
You have contacted the German-speaking NETGEAR Community.
We are able to support you only in this particular language. If you decide to contact us in German, please rewrite your question and/or describe your issue/problem so everybody can understand and participate if they want.
Kind Regards,
DamianM
NETGEAR Community
Hallo Deutsche Netgear Community,
Ich hab diesen switch zweimal gekauft vor einem Jahr oder so. Ich kaufte es weil es schön leise ist. Aber nachdem ich ausversehen durch einen DEBUG im Netzwerk gesehen hatte das ja der switch auf allen VLAN's erreichbar ist hab ich ein wenig damit ausprobiert.
Der schlimmste teil den ich soweit erfahren habe ist, das der switch ARP einträge annimmt die für die Broadcast Adresse (ff:ff:ff:ff:ff:ff:ff) bestimmt sind. Also das wenn man die gateway IP weiss (und die weiss man weil der switch danach arpt), kann man eine falsche ARP (spoofing) zurückschreiben so das der gateway die Broadcast Adresse benutzt. Auf dem port wo es eingeschrieben ist kann man dann alles sehen im rückverkehr vom switch mit tcpdump.
Ich denke es ist eine Sicherheitslücke. Zum beispiel bei dem BS OpenBSD werden ARP nach ff:ff:ff:ff:ff:ff und multicast adressen unterdrückt, warscheinlich deswegen. Ich mag das konzept selber garnicht das man von allen vlans und ports den switch managen kann. Es sollte einstellbar sein welcher port und welches vlan zugriff zum switch hat. Aber ich hab es zu spät gemerkt. Ich bemühe mich jetzt vielleicht den switch zu ersetzen mit was anderem (auf kleinem Budget).
Mit Besten Grüßen,
Hallo petphi,
willkommen in der NETGEAR Community!
Könntest Du mir bitte kurz beschreiben, wo sich der GS110EMX im Netzwerk befindet und wie die ganze Topologie (mit den Modellbezeichnungen und VLAN's) aussieht?
Ich wäre für diese Informationen dankbar.
Freundliche Grüße,
DamianM
NETGEAR Team
NETGEAR Academy
Steigern Sie Ihre Fähigkeiten mit der Netgear Academy - Lassen Sie sich schulen, zertifizieren und bleiben Sie mit der neuesten Netgear-Technologie auf dem neuesten Stand!
Machen Sie mit!
ProSupport for Business
Umfassende Supportpläne für maximale Netzwerkverfügbarkeit und geschäftliche Sicherheit