none
Entradas ARP Estáticas RRS feed

  • Pregunta

  • Hola,

        Estoy leyendo como prevenir ataques MITM (Man in the middle) en redes LAN. Como consejo leo: Añade en cada host por GPO una entrada estática al router, de esta manera, quien quiera "ponerse en medio" (MITM) entre dicho host y el router, no podrá, al no poder hacer ARP Spoofing.

       Me parece una buena medida ya que por las GPO, puedes hacer un archivo .bat diciendo: arp -s 192.168.50.1 00-f4-g6-33-5h-9f , osea : arp -s ip mac

    Y así, cada host de la LAN cuando se inicie tendrá esa entrada estática.

    El problema me ha surgido haciendo una prueba en un pc aislado, al cual, al ponerle la entrada estática arp con la ip y mac del router, y luego hacer un ataque man in the middle con otro pc que tengo en la misma LAN, he podido perfectamente, cogiendo, por ejemplo, una contraseña y usuario de una web no protegida, osea, un formulario http sin SSL ni ningún script de protección.

    ¿Como ha podido el software atacante (ettercap) cambiar la tabla ARP de mi pc victima si en éste he puesto una entrada ARP estática?

    Otra cosa: Reinicio el pc en el que acabo de meter esta entrada estática y se pierde, no sé entonces para que están el comando arp -s , según leo es para eso para crear entradas estáticas, y por estáticas entendía yo que no cambiaban hasta que tú expresamente las cambiaras, no por reinicio del sistema.

    No lo comprendo, segurié investigando.

    Muchas gracias de antemano !!
    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 12 de septiembre de 2011 7:37

Todas las respuestas


  • Hola , bien podrías verificar si el ARP te quedo en forma persistente :

    http://technet.microsoft.com/es-es/library/cc781485(WS.10).aspx

    Saludos


    Saludos Jorge Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.
    lunes, 12 de septiembre de 2011 17:47
  • Hola,

          Gracias por el enlace, es totalmente aclaratorio al respecto:

        " Las entradas estáticas ARP sólo son válidas hasta que se reinicie. Para mantener las entradas de caché de ARP estáticas persistentes, puede agregar comandos arp a un archivo de proceso por lotes que se ejecute al iniciar el sistema. "

    No lo esperaba, pero es así según Microsoft.

     

    De todas maneras me sigue quedando la duda que comento al principio:  Es decir, cómo es capaz el software de hacerme un man in the middle si tengo la entrada estática, corroborrada porque lo he hecho varias veces por si me había confundido al escribir la mac, o en el formato.

    Es más, cuando inicio el man in the middle (mitm), veo que mi tabla arp de la víctima no cambia, no la modifica, osea , no hace un arp poisoning por lo menos aparentemente al verlo en ms-dos o símbolo del sistema.

    Sin embargo, si dejo la entrada arp como dinámica , al iniciar el man in the middle si veo perfectamente como se cambia la tabla arp, osea, se hace el arp spoofing o suplantación de mac, la legítima se sustituye por la del atacante, haciendo que éste esté en el medio de las comunicaciones interceptándolas.

     

    Muchas gracias por tu tiempo !!

     

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    martes, 13 de septiembre de 2011 6:44