¿Evitar ARP spoof?



  • Solo una pregunta, ¿como evito el envenenamiento ARP?, estuve tratatando de leer, pero mi ingles es más malo que el del traductor de google, y no logro entender, baje un paquete que se llama Snort, pero no encuentro como activarlo, ¿alguien me hecha una mano?

    A si, uso la versión 1.2.3



  • http://doc.pfsense.org/index.php/ARP_moved_log_messages

    http://es.wikipedia.org/wiki/ARP_Spoofing

    http://es.wikipedia.org/wiki/Spoofing

    Pones las MAC de todas tus máquinas en el servidor DHCP de pfSense y habilitas Enable Static ARP entries

    http://www.bellera.cat/josep/pfsense/dhcp_cs.html

    No es una solución total lo que te digo pero ayuda bastante.

    snort analiza tramas en base a reglas y detecta acciones de intrusos. Detecta según las reglas que cargues.

    http://es.wikipedia.org/wiki/Snort

    http://forum.pfsense.org/index.php?topic=18966.0

    Veo que en la 2.0.1 está el paquete arpwatch, http://www.freebsd.org/cgi/url.cgi?ports/net-mgmt/arpwatch/pkg-descr

    pero sólo sirve para tener un informe de los cambios que puedan haber en la tabla ARP de una de las interfases de pfSense. Poca cosa…

    Saludos,

    Josep Pujadas Jubany



  • Ok, muchísimas gracias leeré lo que me has colocado.

    Cualquier cosa o duda reviviré el hilo.



  • Bueno, ya leí todo lo que me has puesto y tratado de aplicarlo a mi problemática pero no se adapta, el problema radica en que no tengo el pleno conocimiento de todos los equipos que hay en mi red, pues siempre puede haber uno nuevo, y no puedo estar viendo de quien es, esto es porque:

    Tengo mi red abierta en un unidad habitacional donde no hay acceso a Internet, entonces, cualquiera se conecta a la red, ve el portal cautivo donde vienen los datos de como contactarse conmigo.

    Desde un inicio deje que los usuarios pudieran conectarse desde cualquier equipo que pudiera conectarse a la red, lo que hace que los usuarios se conecten desde sus celulares, tabletas, equipos portátiles y de escritorio, lo único que puse, es que el usuario no es concurrente, entonces, solo puede estar conectado en un equipo a la vez.

    Esto empezó como una prueba de concepto pero de repente creció y se hizo un negocio, por cierto bastante complicado =(.

    El problema es que las soluciones que leí no se me hacen viables, porque tengo que permitir que los usuarios puedan conectarse en casa del vecino con la computadora del primo con si cuenta si es que así lo desean, pues así empece, ¿no existe alguna otra forma de casar la MAC con la IP en el momento en que se conectan para evitar esto?

    El problema empezó hace poco, que algunos usuarios empiezan a tener desconexiones extrañas, me puse a ver y note que varias maquinas se conectan con la misma cuenta, lo extraño es que ese usuario solo se conecta con un equipo, le cambie la contraseña, y a los pocos días paso lo mismo, tengo unos 4 usuarios así.

    Lo que podría hacer es tal vez configurar el Snort con esas maquinas en especial, o no se, me empieza a quitar el sueño no encontrar una solución optima.

    Una disculpa por la carta super larga.



  • ZAC,

    Lo más probable es que se hayan ido pasando usuario/contraseña de unos a otros.

    Como dice un proberbio chino, secreto de dos ya no es secreto.

    Si el tema es que cada cliente tuyo tiene que poder conectar 3 o 4 ordenadores le puedes dar a cada cliente tres o cuatro cuentas y poner el portal cautivo que sólo admites una conexión simultánea en cada cuenta. Adviertes a tus clientes que es así y dejarán de prestarse cuentas…

    Si quieres algo más elaborado tendrás que pensar en una autentificación radius, que permite más cosas.

    Te dejo un hilo de hace unos meses y que acabo de añadir a Documentación:

    http://forum.pfsense.org/index.php/topic,44790.msg233016.html#msg233016

    Saludos,

    Josep Pujadas Jubany



  • Muchas gracias por tus respuestas, si, eso les dejo muy claro desde la primera ocasión que les doy el usuario, yo más bien pienso que se pusieron a ver lo que ven mis clientes, les mandaron tal vez la página del portal solicitando el usuario y la contraseña y estos cayeron, creo que hubo ataque de hombre en medio, lo creo porque me han comentado que de repente sus navegares al entrar a sus correos le dice que el certificado de seguridad no concuerda, o errores de ese tipo, pero de todo lo demás ya lo hago así como lo has descrito.

    No se que más pueda hacer con RADIUS, aunque con lo que tengo ahora mismo me basta, lo que me preocupa es la seguridad =(, pero bueno, creo que no hay manera.

    Saludos y gracias =).


Log in to reply