Ir al contenido
Conéctate para seguir esto  
ALSINJAN

Evitar ARP Spoofing

Publicaciones recomendadas

Soy usuario de ADSL Orange con router Livebox (WIFI + Linea) y, sospechando una intrusión (la luz de datos parpadea con excesiva frecuencia, como ya comenté en un post anterior) intente un cambio de claves pasando a codificación WPA.

Viendo el resultado nulo de dicha operación (las cosas siguen igual), me decidí a hacer un escaneo de mi red con Airsnare, observando que me aparece mi Router con una MAC diferente en su última cifra a la que debería tener ( en vez de acabar en 8, acaba en A) y me avisa de un posible MAC spoofing, por lo que sospecho que la tabla ARP ha sido falseada.

He intentado poner una MAC estática (con el comando ARP -s [iP del router] [MAC del router]), pero si pongo la MAC real del router no conecta.

¿Hay alguna forma de modificar la tabla ARP del router Livebox?

¿Como puedo defenderme de este ataque?

Gracias.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Lo primero de todo es no convertirse en un paranoico pq a lo mejor se sufre un infarto, todo lo que te ocurre puede tener explicaciones lógicas.

El parpadeo del led de datos puede ocurrir por muchas razones, algunas de esas razones pueden ser:

  • Si usas programas p2p de forma habitual vas a tener bastante tráfico de datos.

    Aunque haya momentos en los que no uses esos programas p2p recibiras algo de tráfico residual de esos programas (si conservas la misma IP pública).

    Aunque no uses programas p2p si tienes una IP pública dinámica te puede caer una IP de otro cliente de tu mismo ISP que si haya estado usando ese tipo de programas (y por ello te puede ocurrir lo anterior).

    Si tienes contratados temas de TV por Internet y/o el sistema de llamadas es VoIP esas cosas van a generar tráfico.

    Al ser cliente de Orange y tener un router Livebox sufres el sistema de actualizaciones de firmware online de l@s chic@s de Orange (actualizan cuando quieren y como quieren, nadie sabe que pautas siguen pero esas cosas generan tráfico).

    Puedes tener algún virus/troyano que genera tráfico de datos desde/hacia internet (pasate algún antivirus sobre todo si usas windows).

Posiblemente haya mas razones pero con esas es suficiente para que veas que los leds pueden estar parpadeando todo el rato y no ser un comportamiento extraño/raro.

---------------------------------

Sobre la red wireless de un router Livebox y su protección...

Configuración por defecto de un Livebox:

En una red wireless creada por un router Livebox para que un cliente wireless pueda hacer uso de esa red wireless primero se tiene que asociar cuando el Livebox está en "Modo Asociación". Es una especie de filtro por MAC con la particularidad de que para activar ese "Modo Asociación" (y asi poder asociar una MAC del nuevo cliente) hay que tener acceso físico al router.

Vale... es posible que un "intruso" se ponga una MAC de un cliente wireless legítimo y con ello saltarse esa protección del "Modo Asociación" pero es que esa es solo la primera protección pq por defecto un Livebox también tiene su red wireless protegida con cifrado WPA y por mucho que leas webs/blogs/foros de superhackers... a no ser que el "intruso" tenga una flor en el culo no se va a saltar la protección WPA (que la posibilidad exista no significa que sea fácilmente realizable).

Posibles medidas a tomar con respecto a la red wireless:

  • 1º) Si NO usas la red wireless --> DESACTIVALA, muerto el perro se acabó la rabia.

    2º) Si usas la red wireless y sospechas que alguien ha conseguido averiguar la clave WPA que estas usando (ha tenido una flor en el culo...) --> CAMBIA LA CLAVE, pon una clave larga, se pueden usar frases con espacios, pon algo que sea fácil de recordar para ti, ejemplo: "Si sacas esta clave te lo has currado, te dejo usar mi red." (cuya longitud es de 59 caracteres).

Sobre como activar/desactivar la red wireless en un Livebox, sobre como configurar WPA en un Livebox, sobre como funciona el "Modo Asociación" de un Livebox, sobre como mirar los clientes wireless asociados en un Livebox... etc echa una ojeada a estos tutoriales:

http://www.adslayuda.com/inventel_DV4210_WS_livebox.html

http://www.adslayuda.com/inventel_DV4210_WS_livebox-wireless.html

---------------------------------

Sobre el tema de airsnare o cualquier otra aplicación que sea IDS (Intrusion Detection System)...

Los routers wireless suelen trabajar con 3 MACs distintas:

  • WAN MAC Address : MAC usada de cara a Internet.

    LAN MAC Address : MAC usada dentro de la parte cableada de la LAN.

    Wireless MAC Address (ó BSSID): MAC usada dentro de la parte wireless de la LAN.

Estas MACs suelen ser identicas salvo por el último dígito.

El mensaje reportado por ese IDS coincide con esto, yo apostaría que ha sido un falso positivo, apostaría que no hay nada de ARP spoofing ni ningún superhacker en tu LAN/WLAN, apostaria a que el airsnare se ha hecho la picha un lio con algo que en principio es normal.

---------------------------------

Relajate que todo lo que has dicho tiene una explicación normal :wink:

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Muy buena respuesta. Yo mismo no la habría mejorado :lol::lol:

Estate tranquilo. No parece que haya nadie en tu red, pero tamboco bajes la guardia.

Reitero la calidad y sencillez de la respuesta de ErNi_

Un saludo a todos

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Muchas gracias por vuestra respuesta.

En realidad no puede ser ningun virus ni programas P2P, puesto que tengo la contumbre de apagar completamente mis ordenadores (desconectándolos de la corriente) y el parpadeo de la luz de datos sucede con los ordenadores apagados, aunque admito que pudieran ser actualizaciones de Firm o algun control interno de sincronización con la linea.

Respecto a las MAC, conozco bien el mecanismo de asociación (tengo en la actualidad 4 MACs asociadas: ordenador principal, ordenador de los niños, portatil y consola Wii)y en la lista de MACs asociadas no aparece ninguna extraña, luego la única posibilidad seria una suplantación.

Lo que si me ha convencido es el hecho que comentas de que las distintas MAC (cosa que desconocía) se diferencian en la última cifra, por lo que si le doy a Airsnare la cambiada como "amigable" desaparecerán logicamente las alarmas al

no considerarla como ajena.

En fin, gracias por una respuesta tan documentada. Ahora dormiré mas tranquilo.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web
Invitado
Este tema está cerrado a nuevas respuestas.
Conéctate para seguir esto  

×
×
  • Crear nuevo...

Información importante

Términos de Uso Política de privacidad Hemos colocado cookies en su dispositivo para ayudar a mejorar este sitio web. Puedes ajustar la configuración de tus cookies ; de lo contrario, asumiremos que quieres continuar.