Resultados 1 al 15 de 15

¿Seguridad en red wifi?

  1. #1 ¿Seguridad en red wifi? 
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    134
    Descargas
    0
    Uploads
    0
    Hola de nuevo. Estaba preguntandome si el administrador de la red o alguno de sus miembros podria ver un envenenamiento ARP. Si es asi, ¿como lo ve?
    Citar  
     

  2. #2  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    En envenenamiento ARP se caracteriza por la ingente cantidad de respuestas ARP que inunda la red. Se pueden apreciar a simple vista.

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  3. #3  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    142
    Descargas
    2
    Uploads
    0
    Bueno, un arp spoofing no tiene por que generar ingentes respuestas arp,normalmente se hace un arp spoofing contra determinada o determinadas máquinas no a difusión , con un solo arp replay te basta para que todos o a esas máquinas actualicen su tabla arp y tampoco es necesario mandar arps continuamente, además haciendo arp spoofing sobre máquinas en particular los arps no viajarán por todo el dominio de difusión por lo que su detección se limita a los dominos de colisión de los switchs que atravesó.

    Detectar arp spoofing en una LAN más o menos grande me parece difícil sólo analizando el tráfico me parece mayor el tráfico generado por arp de forma natural, existen programas para ello que detectan cambios en las tablas arp y utilizan rarp para ver si a una MAC le corresponde mas de una ip. Anque lo más práctico es defender la Lan para que no se pueda hacer arp spoofing. Todo eso teniendo en cuenta que en esa red haya un administrador que se ocupe de estar viendo el tráfico y analizando todo lo que ocurre con su red...

    Saludos
    Última edición por miguel86; 04-11-2008 a las 20:59
    Citar  
     

  4. #4  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    134
    Descargas
    0
    Uploads
    0
    Pero un admin cauto podria elaborar un script que le avise cuando haya ese tipo de trafico en la red o cuando las MAC cambien o algo de eso no?
    Citar  
     

  5. #5  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    142
    Descargas
    2
    Uploads
    0
    Si un admin quiere protegerse contra el arp spoofing o colocar un programa contra el arp spoofing lo detecta, , es decir, si quiere evitarlo existen contramedidas para hacerlo, y registrando el tráfico también se detecta, pero ten en cuenta que en una lan conmutada existen varios dominios de colisión y por tanto ha de registrar el tráfico en todos estos.
    O sea que es posible es tomando una serie de medidas evitarlo o detectarlo si quieres, teniendo en cuenta lo anterior. Por que preguntas esto quieres hacerlo en alguna red?

    Salu2
    Última edición por miguel86; 05-11-2008 a las 00:01
    Citar  
     

  6. #6  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Cita Iniciado por miguel86 Ver mensaje
    Bueno, un arp spoofing no tiene por que generar ingentes respuestas arp,normalmente se hace un arp spoofing contra determinada o determinadas máquinas no a difusión
    Tras un pequeño intervalo de inactividad, las estaciones volverán a hacer la petición, y recibirá una respuesta ARP fresca. Por eso hay que seguir inyectando, para contrarrestar esa actividad.

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  7. #7  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    134
    Descargas
    0
    Uploads
    0
    Quería curiosear la red de mi facultad y ver el trafico de algunos pcs que se conecten a ella, pero por eso pregunto, aver si me van a llamar la atencion o algo. Aun asi, ¿mi ip quedaría registrada en algun sitio? Hago la pregunta de otra forma. Si me pillaran, ¿sabrían que soy yo?
    Citar  
     

  8. #8  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    142
    Descargas
    2
    Uploads
    0
    Cita Iniciado por j8k6f4v9j Ver mensaje
    Tras un pequeño intervalo de inactividad, las estaciones volverán a hacer la petición, y recibirá una respuesta ARP fresca. Por eso hay que seguir inyectando, para contrarrestar esa actividad.
    Si inyectas una entrada en una tabla arp, solo será actualizada si se recibe un arp-replay respectivo a esa entrada, o tras un periodo de inactividad o reseteo del equipo y cosas así, desconozco el tiempo de inactividad en el que se vuelve a enviar la petición , pero por la práctica sé que si inyectas una entrada falsa y no se recibe arp replay esa entrada va a ser válida y no se generaran arp request para esa entrada si la tienes en la tabla o por lo menos no en un intervalo pequeño (si no no tendría sentido tener una tabla arp, se hacen para evitar exceso de tráfico, al igual que hace windows al aceptar arp replay sin haber hecho arp request para evitar exceso de tráfico arp, lo que facilita las cosas al atacante) ,tampoco es difícil inyectar una entrada arp y volver a inyectarla cuando la víctima vuelva a hacer un arp request preguntando por esa entrada.., por la práctica se que no necesitas inundar con arps ni mucho menos para hacer arp spoofing, se generan más arps de forma natural en la red, y por las estadísticas sobre el tráfico generado por arp no se va a ver nada anormal. Por lo menos no si solo atacas una máquina o unas cuantas pocas máquinas y si la red ip es más o menos grande.


    Eso teniendo en cuenta que registras el tráfico total en toda la lan (aunque sea conmutada), la detección de arp spoofing no es algo sencillo, pero no hay que olvidar que es un método activo de sniffing y por lo tanto detectable. si analizas todo el tráfico puedes establecer reglas para que salte la alarma (por ejemplo si a 1 ip le corresponden 2 mac (escaneo por arp y recibes dos respuestas, aunque claro el programa atacante no debería devolver al recibir un arp request la mac falsa que utiliza al hacer el spoofing, o hacer un escaneo rarp y ver que a una mac le corresponden 2 ip(estamos en las mismas que lo anterior), pero hay que estar ahí para verlo y detectarlo, y sobre todo, estar registrando los dominios de colisión en los que pasa esos arps (yo miraría la puerta de enlace y el controlador de dominio que son vícitmas potenciales y estar alerta si cambia una entrada arp en esas máquinas), si no estableces alarmas para que salte, analizando el tráfico de una lan te va a ser muy difícil darte cuenta salvo casos extremos como spoofear toda la red con la puerta de enlace(haciendo mitm para registrar todo el tráfico entrante y saliente), entonces al ver el tráfico saliente en el router se vería que salen desde muchas ip con la misma MAC.

    Depende de si tienes puestas alarmas para que salten con arp-sppofing, de que seas capaz de registrar esos arps (que pasen por el dominio de colisión donde registras el tráfico), quizás lo que veo más difícil. Es decir de lo atento que estés al tema, pero en una red conmutada con muchos switchs yo me atrevería a hacerlo sin problemas (pero intenta utilizar una ip y mac falsas).
    ¿en que universidad lo quieres hacer?

    Si entras con una cuenta en el ordenador que no te identifique (y que sea de administrador para poder ejecutar los programas para hacer el ataque) y utilizas una ip y una mac falsas de la red (de alguna máquina que esté apagada por ej) entonces no van a saber que eres tú, es decir, utiliza el ordenador de alguna manera que pudiera haber sido cualquier otro y utiliza ip y mac falsas de otro ordenador de la red (que no esté en ese momento conectado ya que si no va a a ver un conflicto de ips y eso si va dar mucho el cante).

    No estoy puesto en derecho informático por lo que no sé que ocurre si "curioseas" el tráfico de otras máquinas si es legal o si depende del uso que hagas de esa información, estaría bien que alguien aclarase esa duda, si sólo el hecho de sniffar el tráfico aunque sea ajeno es legal, pero se supone que todo esto es con fines educativos y ver como funciona y no obtener información privada, y si la obtienes ten cuidado con lo que haces con ella no te metas en un lío.
    Salu2
    Última edición por miguel86; 06-11-2008 a las 15:49
    Citar  
     

  9. #9  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    134
    Descargas
    0
    Uploads
    0
    Vale y lo de la ip y MAC falsas, ¿me la puedo inventar totalmente o tiene que ser unas de la red? Y eso se pone en el apartado de ARP poisoning de Cain no?
    Citar  
     

  10. #10  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    142
    Descargas
    2
    Uploads
    0
    Pues ha de ser una ip de tu red ip claro, es decir dentro de tu rango, mira la máscara de red y la ip que tienes y así conoces que rango de ips utiliza la red, si no no te va a funcionar, una máquina cuando ha de enviar una trama a una máquina que no es de su red ip la envía al router correspondiente para que la encamine (mirando la tabla de rutas), así que no te funcionaria si utilizas una ip falsa que no sea de tu rango. La Mac si quieres te la inventas pero mejor ya que utilizas una ip de otro equipo utilizar la mac de ese equipo también para que parezca que se hizo desde ese equipo.

    Sobre como hacerlo en cain en configure hay un apartado para utilizar una ip y mac falsas, puedes cambiar la ip la mac para cambiarla has de ir al registro de windows luego le das a buscar que busque la cadena cain y por ahí en una subcarpeta en el registro puedes cambiar la mac.

    Salu2
    Última edición por miguel86; 06-11-2008 a las 15:51
    Citar  
     

  11. #11  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    53
    Descargas
    0
    Uploads
    0
    Lo más probable y lógico es que tu facultad utilice switches L3 gestionables, y con bastante probabilidad, catalyst. No digo que lo usen, pero es probable, asi que cabe la posibilidad de que no te funcione el arp spoofing y ahora te explico por qué.

    Entre las prestaciones que se encuentran en estos equipos, además de spaning tree para evitar bucles de tráfico broadcast, tienen seguridad en los puertos. Es decir, que, entre otras cosas de los port security, no van a permitir que dos MACs entren por un puerto, y bloquea el puerto bien en un intervalo de tiempo determinado o de forma indefinida. Así que podrías quedarte sin red si mandas un paquete con MAC de origen distinta a la que tiene tu PC.

    Solo te aviso, por si te quedas sin red y entonces si que te pueden pillar y tal...xD
    Cita Iniciado por clarinetista
    Que yo se sacar claves WIFI y pago mi conexión todos los meses
    " Amén
    Citar  
     

  12. #12  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    142
    Descargas
    2
    Uploads
    0
    Cita Iniciado por ethersal Ver mensaje

    Entre las prestaciones que se encuentran en estos equipos, además de spaning tree para evitar bucles de tráfico broadcast, tienen seguridad en los puertos.
    Spanning tree se produce cuando existen rutas alternativas hacia un dispositivo, y como en MAC no hay ttl como en ip, pues pueden producirse bucles indefinidos, se utiliza el protocolo STP o derivados para para evitar esto y es algo que se puede desactivar y que suele venir implementado en casi todos los switch.

    Cita Iniciado por ethersal Ver mensaje
    Es decir, que, entre otras cosas de los port security, no van a permitir que dos MACs entren por un puerto, y bloquea el puerto bien en un intervalo de tiempo determinado o de forma indefinida. Así que podrías quedarte sin red si mandas un paquete con MAC de origen distinta a la que tiene tu PC.
    Qeurrás decir que no permite que una MAC entre por dos puertos. Independientmene, esto no tiene nada que ver ni afecta al arp spoofing, ya que el arp spoofing no engaña para nada a los switch ni les indica que deben registrar una MAC a otro puerto, el arp spoofing simplemente engaña a la víctima para que crea que la MAC de cierta máquina es la que no es, pero no afecta ni engaña a los switchs, no se trata de decir a los switchs que cierta máquina está en otro puerto, si no de decir a la víctima que las tramas que quiere enviar han de ser enviadas a la máquina atacante en vez de a la que realmente le corresponde esa ip en la red.

    Saludos.
    Última edición por miguel86; 05-11-2008 a las 22:51
    Citar  
     

  13. #13  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    53
    Descargas
    0
    Uploads
    0
    Cita Iniciado por miguel86 Ver mensaje
    Spanning tree se produce cuando existen rutas alternativas hacia un dispositivo, y como en MAC no hay ttl como en ip, pues pueden producirse bucles indefinidos, se utiliza el protocolo STP o derivados para para evitar esto y es algo que se puede desactivar y que suele venir implementado en casi todos los switch.
    Ajá, así es. Lo cual es normal encontrar spaning tree en cualquier red de grandes dimensiones con redundancia/balanceo de carga en su salida, cosa lógica encontrar en una facultad.

    Y si, viene implementado en casi todos los switchs, pero según la estructura (como por ejemplo el balanceo de carga) necesita de multiple spaning tree, que no está en todos los switches. Una estructura sencilla son dos agregadores para la red y un nodo de acceso por cada planta/sección/zona/edificio...

    Qeurrás decir que no permite que una MAC entre por dos puertos. Independientmene, esto no tiene nada que ver ni afecta al arp spoofing, ya que el arp spoofing no engaña para nada a los switch ni les indica que deben registrar una MAC a otro puerto, el arp spoofing simplemente engaña a la víctima para que crea que la MAC de cierta máquina es la que no es, pero no afecta ni engaña a los switchs, no se trata de decir a los switchs que cierta máquina está en otro puerto, si no de decir a la víctima que las tramas que quiere enviar han de ser enviadas a la máquina atacante en vez de a la que realmente le corresponde esa ip en la red.

    Saludos.
    Quiero decir lo que he dicho, pero tambien lo que dices tú. El port security hace muchas cosas, entre ellas lo que dices tú, lo que digo yo, e incluso bloquear el puerto en cuanto pierde la conexión física en el puerto. El hecho de que arp spoofing no engañe a los switches, no quita que el intentar suplantar la MAC de la tarjeta de red de tu PC, se bloquee el puerto y ya no pueda hacer nada. No he hablado de arp spoofing, sino de que es posible que no pueda hacer lo que le habeis dicho. Solo posible. No lo puedo asegurar porque no conozco el caso.

    Ojo, no estoy diciendo que no pueda haber 2 macs en un puerto, estoy diciendo que si el switch es configurable se puede habilitar para que no las haya. En los enlaces troncales hay muchas macs relacionadas a un puerto en la tabla de forwarding. Pero cada puerto es configurable para pasar X vlanes en modo troncal, en modo acceso(en este caso solo 1, pero la que tu quieras), y cada puerto tiene una seguridad configurable.
    Última edición por ethersal; 06-11-2008 a las 00:03
    Cita Iniciado por clarinetista
    Que yo se sacar claves WIFI y pago mi conexión todos los meses
    " Amén
    Citar  
     

  14. #14  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    142
    Descargas
    2
    Uploads
    0
    Cita Iniciado por ethersal Ver mensaje
    Ajá, así es. Lo cual es normal encontrar spaning tree en cualquier red de grandes dimensiones con redundancia/balanceo de carga en su salida, cosa lógica encontrar en una facultad.

    Y si, viene implementado en casi todos los switchs, pero según la estructura (como por ejemplo el balanceo de carga) necesita de multiple spaning tree, que no está en todos los switches. Una estructura sencilla son dos agregadores para la red y un nodo de acceso por cada planta/sección/zona/edificio...
    Spanning tree y balanceo de carga son conceptos diferentes, el spanning tree nunca es necesario que yo sepa, simplemente consiste en la posible existencia de bucles en las rutas y que es aconsejable evitar, y para ello se utiliza STp que provee información sobre la topología, pero siempre en la capa de enlace, por lo que no entiendo lo de la relación con el balanceo de carga.


    Cita Iniciado por ethersal Ver mensaje
    No he hablado de arp spoofing, sino de que es posible que no pueda hacer lo que le habeis dicho. Solo posible. No lo puedo asegurar porque no conozco el caso.
    Cita Iniciado por ethersal Ver mensaje
    asi que cabe la posibilidad de que no te funcione el arp spoofing y ahora te explico por qué.
    entre otras cosas de los port security, no van a permitir que dos MACs entren por un puerto, y bloquea el puerto bien en un intervalo de tiempo determinado o de forma indefinida.
    La razón que dices por la que podría no funcionar no guarda relación con el ataque, repito que los switch no se ven afectados, simplemente el arp spoofing le dice a una máquina que la ip de cierta máquina corresponde con la mac del atacante, por lo que ni las macs aparecen en otro puerto ni aparecen nuevas macs ni nada, las direcciones físicas siguen estando donde estaban, unicamente cambian las correspondencias entre las direcciones lógicas con las físicas, por ello los switch de nivel 2 no notan diferencia alguna.
    Cita Iniciado por ethersal Ver mensaje
    Quiero decir lo que he dicho, pero tambien lo que dices tú. El port security hace muchas cosas, entre ellas lo que dices tú, lo que digo yo, e incluso bloquear el puerto en cuanto pierde la conexión física en el puerto.
    El hecho de que arp spoofing no engañe a los switches, no quita que el intentar suplantar la MAC de la tarjeta de red de tu PC, se bloquee el puerto y ya no pueda hacer nada.
    Port security se utiliza para evitar que MACS no autorizadas utilicen la red, registra las MACS de cada puerto y si aparece una nueva la capa. De todas maneras para hacer arp spoofing no es necesario suplantar la MAC de ninguna tarjeta de red, e independientemente de todo esto da igual, repito el arp spoofing no afecta para nada el funcionamiento de los switch (estoy hablando del ataque en sí, no de que luego utilices una ip o mac falsas para que no te pillen claro).

    Cita Iniciado por ethersal Ver mensaje
    Ojo, no estoy diciendo que no pueda haber 2 macs en un puerto, estoy diciendo que si el switch es configurable se puede habilitar para que no las haya. En los enlaces troncales hay muchas macs relacionadas a un puerto en la tabla de forwarding. Pero cada puerto es configurable para pasar X vlanes en modo troncal, en modo acceso(en este caso solo 1, pero la que tu quieras), y cada puerto tiene una seguridad configurable.
    Aquí me he perdido, estamos hablando de vlans? Estamos hablando de redes lógicas? De varios dominios de difusión?,entonces la cosa cambia bastante, pero es que lo de las vlans es otro concepto distinto al de una red conmutada con switchs a nivel 2 (en la que no se haga vlans para que parezca de nivel 3).


    De todas maneras da igual, nos estamos desviando del hilo, para hacer arp spoofing en tu red ip en una lan conmutada de switchs de nivel2 es independiente de los switch,repito que estos no se ven afectados.

    Salu2
    Última edición por miguel86; 06-11-2008 a las 03:54
    Citar  
     

  15. #15  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    53
    Descargas
    0
    Uploads
    0
    Tienes razón, en cuanto a que nos estamos desviando.

    Pero en cuanto al resto de cosas, miguel86, cálma tronco. Estamos aquí para aprender, tu, yo, y los demás, y aprender unos de otros por tanto todos tenemos algo que aportar, unos más y otros menos. Y creo que estás confundido con algunas cosas, así que lee lo que te explico, que si algo no entiendes no me importa explicartelo. Estas cosas las domino bastante bien, puede que no sea capaz de explicarte lo que hace cada algoritmo de cifrado como tú puedes hacer, pero hay otras cosas que sí. Así que vamos a colaborar unos con otros, y ya está.

    Y como además no has conseguido captar mi mensaje (tambien es cierto que he supuesto que pensarías como yo) voy a abrir un hilo para hablar de spanning tree y demás, y lo charlamos ahí tranquilamente.

    De todas maneras, en cuanto al arp spoofing, si usas una mac falsa para acceder a la red, aunque sea de otro PC, si esa mac entra por el puerto por el que debe entrar la mac de tu PC, y esa red está bien montada, se bloquea el puerto y no hay acceso a la red.
    Cita Iniciado por clarinetista
    Que yo se sacar claves WIFI y pago mi conexión todos los meses
    " Amén
    Citar  
     

Temas similares

  1. WiFi , seguridad?
    Por Sergiohuelv en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 2
    Último mensaje: 05-01-2015, 16:41
  2. Problema seguridad wifi abiertas
    Por peraliyo en el foro VULNERABILIDADES
    Respuestas: 2
    Último mensaje: 01-12-2012, 02:02
  3. Seguridad en router wifi
    Por angelbs_85 en el foro INTRUSION
    Respuestas: 1
    Último mensaje: 23-03-2012, 00:35
  4. IN-seguridad WIFI
    Por r3dh4ck en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 8
    Último mensaje: 11-09-2007, 02:08
  5. Redes wifi con seguridad habilitada WEP
    Por carasusto en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 1
    Último mensaje: 15-03-2007, 22:59

Marcadores

Marcadores