Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    ¿Evitar ARP spoof?

    Scheduled Pinned Locked Moved Español
    6 Posts 2 Posters 3.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ZACZ
      ZAC
      last edited by

      Solo una pregunta, ¿como evito el envenenamiento ARP?, estuve tratatando de leer, pero mi ingles es más malo que el del traductor de google, y no logro entender, baje un paquete que se llama Snort, pero no encuentro como activarlo, ¿alguien me hecha una mano?

      A si, uso la versión 1.2.3

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        http://doc.pfsense.org/index.php/ARP_moved_log_messages

        http://es.wikipedia.org/wiki/ARP_Spoofing

        http://es.wikipedia.org/wiki/Spoofing

        Pones las MAC de todas tus máquinas en el servidor DHCP de pfSense y habilitas Enable Static ARP entries

        http://www.bellera.cat/josep/pfsense/dhcp_cs.html

        No es una solución total lo que te digo pero ayuda bastante.

        snort analiza tramas en base a reglas y detecta acciones de intrusos. Detecta según las reglas que cargues.

        http://es.wikipedia.org/wiki/Snort

        http://forum.pfsense.org/index.php?topic=18966.0

        Veo que en la 2.0.1 está el paquete arpwatch, http://www.freebsd.org/cgi/url.cgi?ports/net-mgmt/arpwatch/pkg-descr

        pero sólo sirve para tener un informe de los cambios que puedan haber en la tabla ARP de una de las interfases de pfSense. Poca cosa…

        Saludos,

        Josep Pujadas Jubany

        1 Reply Last reply Reply Quote 0
        • ZACZ
          ZAC
          last edited by

          Ok, muchísimas gracias leeré lo que me has colocado.

          Cualquier cosa o duda reviviré el hilo.

          1 Reply Last reply Reply Quote 0
          • ZACZ
            ZAC
            last edited by

            Bueno, ya leí todo lo que me has puesto y tratado de aplicarlo a mi problemática pero no se adapta, el problema radica en que no tengo el pleno conocimiento de todos los equipos que hay en mi red, pues siempre puede haber uno nuevo, y no puedo estar viendo de quien es, esto es porque:

            Tengo mi red abierta en un unidad habitacional donde no hay acceso a Internet, entonces, cualquiera se conecta a la red, ve el portal cautivo donde vienen los datos de como contactarse conmigo.

            Desde un inicio deje que los usuarios pudieran conectarse desde cualquier equipo que pudiera conectarse a la red, lo que hace que los usuarios se conecten desde sus celulares, tabletas, equipos portátiles y de escritorio, lo único que puse, es que el usuario no es concurrente, entonces, solo puede estar conectado en un equipo a la vez.

            Esto empezó como una prueba de concepto pero de repente creció y se hizo un negocio, por cierto bastante complicado =(.

            El problema es que las soluciones que leí no se me hacen viables, porque tengo que permitir que los usuarios puedan conectarse en casa del vecino con la computadora del primo con si cuenta si es que así lo desean, pues así empece, ¿no existe alguna otra forma de casar la MAC con la IP en el momento en que se conectan para evitar esto?

            El problema empezó hace poco, que algunos usuarios empiezan a tener desconexiones extrañas, me puse a ver y note que varias maquinas se conectan con la misma cuenta, lo extraño es que ese usuario solo se conecta con un equipo, le cambie la contraseña, y a los pocos días paso lo mismo, tengo unos 4 usuarios así.

            Lo que podría hacer es tal vez configurar el Snort con esas maquinas en especial, o no se, me empieza a quitar el sueño no encontrar una solución optima.

            Una disculpa por la carta super larga.

            1 Reply Last reply Reply Quote 0
            • belleraB
              bellera
              last edited by

              ZAC,

              Lo más probable es que se hayan ido pasando usuario/contraseña de unos a otros.

              Como dice un proberbio chino, secreto de dos ya no es secreto.

              Si el tema es que cada cliente tuyo tiene que poder conectar 3 o 4 ordenadores le puedes dar a cada cliente tres o cuatro cuentas y poner el portal cautivo que sólo admites una conexión simultánea en cada cuenta. Adviertes a tus clientes que es así y dejarán de prestarse cuentas…

              Si quieres algo más elaborado tendrás que pensar en una autentificación radius, que permite más cosas.

              Te dejo un hilo de hace unos meses y que acabo de añadir a Documentación:

              http://forum.pfsense.org/index.php/topic,44790.msg233016.html#msg233016

              Saludos,

              Josep Pujadas Jubany

              1 Reply Last reply Reply Quote 0
              • ZACZ
                ZAC
                last edited by

                Muchas gracias por tus respuestas, si, eso les dejo muy claro desde la primera ocasión que les doy el usuario, yo más bien pienso que se pusieron a ver lo que ven mis clientes, les mandaron tal vez la página del portal solicitando el usuario y la contraseña y estos cayeron, creo que hubo ataque de hombre en medio, lo creo porque me han comentado que de repente sus navegares al entrar a sus correos le dice que el certificado de seguridad no concuerda, o errores de ese tipo, pero de todo lo demás ya lo hago así como lo has descrito.

                No se que más pueda hacer con RADIUS, aunque con lo que tengo ahora mismo me basta, lo que me preocupa es la seguridad =(, pero bueno, creo que no hay manera.

                Saludos y gracias =).

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.