Inicio > Ethernet, gratuito, hackear, manuales, seguridad, Tcp/Ip, tutoriales > Envenenamiento ARP (Soluciones – V)

Envenenamiento ARP (Soluciones – V)


Soluciones

5.1 ARPwatch

En sistemas Linux la herramienta ARPWatch ( http://www­nrg.ee.lbl.gov/) nos puede servir para detectar el uso del envenenamiento ARP en nuestro sistema. Con ARPWatch podemos comprobar la correspondencia entre pares IP­MAC (Ethernet). En caso de que un cambio en un par se produzca (esto es, se escuche en el interfaz de red del sistema), ARPWatch envía un correo de notificación del suceso a la cuenta root o administrador del sistema con un mensaje tipo “FLIP FLOP o Change ethernet address” . También podemos monitorizar la existencia de nuevos host (aparición de una nueva MAC en la red).

5.2 ARPGuard (ISL y SECUDOS)

Sistema para formar una protección activa contra los ataques internos a la red. Arp­guard no interfiere con las aplicaciones internas de la red, y permite además reconocer posibles amenazas participando como observador, y con potestad de intervención en casos de un ataque eventual. Arp­guard analiza constantemente todos los paquetes ARP y envía las alertas oportunas a los administradores de red indicando el origen del ataque.En adición, ARP­guard ofrece un sistema denominado arp­guard box que actúa como un analizador/observador del tráfico de paquetes ARP en la red local. Éste nació como la asociación estratégica entre ISL y SECUDOS, en donde la primera suministra el software y la segunda suministra el hardware.

Más información en http://www.secudos.de

5.3 Asignación estática en la tabla de entradas ARP

Como hemos visto, el ataque se basa en la expiración y posibilidad de modificación de las entradas en la tabla ARP. Si algo es vulnerable porque puede moverse, entonces taladrémoslo y fijémoslo al suelo.

Existen dos formas de añadir una entrada en la tabla ARP, de forma automática, esto es lo que hace nuestro sistema sin que nosotros nos percatemos, y manualmente lo cual nos añade la posibilidad de dejar inmutable y hasta el apagado del sistema dicha entrada en la tabla ARP.

La forma de añadir una entrada ARP en un sistema Win32 es la siguiente, desde el indicador de comandos ejecutamos:

arp ­s < Dirección IP del Host> < Dirección MAC del Host>

De esta forma, las direcciones MAC habrían quedado grabadas a fuego y por mucho que el sistema B hubiese intentado perpetrar un ataque de ARP Poisoning este hubiese quedado en un intento. Además si hubiésemos tenido funcionando el software ARPWatch hubiésemos detectado el ataque y posiblemente al atacante.

Dado que la tabla ARP se elimina al apagar el PC y se encuentra vacía al encenderlo, debemos de crear un proceso que al encender el PC cree la tabla ARP como hemos comentado arriba, host por host crítico. Esto es factible en redes reducidas.

No obstante, en redes locales donde se disponga de sistemas Unix/Linux o cualquier otro multiusuario, y siempre y cuando los usuarios de la red no dispongan de la contraseña de administrador, será imposible (siempre hay métodos de obtención de cuenta administrador por otros medios) que alguien con nivel raso pueda lanzar ataques de este tipo, pues es necesario el nivel de administrador para acceder a servicios de la capa 2 de enlace.

Aún así, hoy día existen algunos switches que son inmunes a este tipo de ataques, pero son los menos.

Tutorial IV

Tutorial III

Tutorial II

Tutorial I

Anuncios
  1. 02/02/2011 en 10:00 pm

    Gracias por las soluciones me parece perfecto!!!

  1. 02/02/2011 en 5:33 pm

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: