[Consulta] - Prevenir envenenamiento arp

14/05/2004 - 15:08 por al0ne | Informe spam
Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos de
sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto minimizar
el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de cripto
implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del todo
bien, creo que la base queda clara ;) )

-al1

Preguntas similare

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
14/05/2004 - 15:28 | Informe spam
No hay manera... ni en windows ni en ningun sistema que yo sepa...

Es una de las deficiencias basicas del tcp/ip tal y como está definido (y hay que cumplirlo...). Pero tampoco hay que ser alarmista. esto por internet no puede pasar: solo en la propia red local. Es peligroso en empresas con multiples PC's y personal "externo" que pueden obtener informacion de donde no deben...

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message news:
Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos de
sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto minimizar
el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de cripto
implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del todo
bien, creo que la base queda clara ;) )

-al1


Respuesta Responder a este mensaje
#2 al0ne
14/05/2004 - 15:33 | Informe spam
Gracias por la respuesta !!

Entonces, de cara a minimizar el riesgo , quizás debería ir pensando en
habilitar las restricciones de instalacion/manipulacion de software en los
nodos que no la tengan ¿?¿ --> O crees que hay alguna otra alternativa ?

Es decir, entiendo que si la llamémosle "anomalía" es inherente de tcp/ip y
no de la pila implementada por el fabricante,
tengo que "tirar por otro lado" para minimizar el posible riesgo , no ?

Lo que prentendo básicamente, es de cara a una auditoria externa , poder
"demostrar" que se han tomado medidas
para paliar el tema

Una vez más, gracias y saludos !

-al1



"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
No hay manera... ni en windows ni en ningun sistema que yo sepa...

Es una de las deficiencias basicas del tcp/ip tal y como está definido (y
hay que cumplirlo...). Pero tampoco hay que ser alarmista. esto por
internet no puede pasar: solo en la propia red local. Es peligroso en
empresas con multiples PC's y personal "externo" que pueden obtener
informacion de donde no deben...

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message
news:
Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos


de
sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto


minimizar
el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de cripto
implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a


ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del todo
bien, creo que la base queda clara ;) )

-al1


Respuesta Responder a este mensaje
#3 JM Tella Llop [MVP Windows]
14/05/2004 - 15:48 | Informe spam
No te vale ninguna solucion.
Desde una maquina te manipulan perfectamente la tabla de ARP's de otra.

Es la broma mas usada en los trabajos... modificas la tabla ARP de otra maquina desde la tuya para cambiarle el gateway por tanto dejarla ciega. (solo vale para la subred local). Recuerda que la resolucion ARP solo es para subred local.

No creo que ninguna auditoria se meta en estas cosas. Lo que es importante de cara a auditorias en las empresas: que ninguna tarjeta puede estar ni esté en modo promiscuo. Y que se usen switchs... no hub's... (estas cosas de cara a lo que has comentado)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message news:
Gracias por la respuesta !!

Entonces, de cara a minimizar el riesgo , quizás debería ir pensando en
habilitar las restricciones de instalacion/manipulacion de software en los
nodos que no la tengan ¿?¿ --> O crees que hay alguna otra alternativa ?

Es decir, entiendo que si la llamémosle "anomalía" es inherente de tcp/ip y
no de la pila implementada por el fabricante,
tengo que "tirar por otro lado" para minimizar el posible riesgo , no ?

Lo que prentendo básicamente, es de cara a una auditoria externa , poder
"demostrar" que se han tomado medidas
para paliar el tema

Una vez más, gracias y saludos !

-al1



"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
No hay manera... ni en windows ni en ningun sistema que yo sepa...

Es una de las deficiencias basicas del tcp/ip tal y como está definido (y
hay que cumplirlo...). Pero tampoco hay que ser alarmista. esto por
internet no puede pasar: solo en la propia red local. Es peligroso en
empresas con multiples PC's y personal "externo" que pueden obtener
informacion de donde no deben...

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message
news:
Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos


de
sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto


minimizar
el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de cripto
implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a


ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del todo
bien, creo que la base queda clara ;) )

-al1






Respuesta Responder a este mensaje
#4 al0ne
14/05/2004 - 17:04 | Informe spam
Exacto ! , y de aquí mi consulta de lo del arp-poisoning , para evitar
sniffers , ya que es una lan totalmente switcheada, y la unica manera de
"sniffar" es mediante las tablas arp.
A parte de una técnica que he estado leyendo basada en inundar la cam table
( Content Addressable Memory ) del switch, que una especie de mega-cache
arp qeu tiene el switch y "envenenandola" posteriormente ;) !

O sea que a parte de una monitorizacion de las tarjetas continua ( cada x
tiempo ) no hay nada que hacer , no ?

Gracias de nuevo, es un placer compartir el "hilo" con un master !

saludos !


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:ul6%
No te vale ninguna solucion.
Desde una maquina te manipulan perfectamente la tabla de ARP's de otra.

Es la broma mas usada en los trabajos... modificas la tabla ARP de otra
maquina desde la tuya para cambiarle el gateway por tanto dejarla ciega.
(solo vale para la subred local). Recuerda que la resolucion ARP solo es
para subred local.

No creo que ninguna auditoria se meta en estas cosas. Lo que es importante
de cara a auditorias en las empresas: que ninguna tarjeta puede estar ni
esté en modo promiscuo. Y que se usen switchs... no hub's... (estas cosas de
cara a lo que has comentado)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message
news:
Gracias por la respuesta !!

Entonces, de cara a minimizar el riesgo , quizás debería ir pensando en
habilitar las restricciones de instalacion/manipulacion de software en los
nodos que no la tengan ¿?¿ --> O crees que hay alguna otra alternativa ?

Es decir, entiendo que si la llamémosle "anomalía" es inherente de tcp/ip


y
no de la pila implementada por el fabricante,
tengo que "tirar por otro lado" para minimizar el posible riesgo , no ?

Lo que prentendo básicamente, es de cara a una auditoria externa , poder
"demostrar" que se han tomado medidas
para paliar el tema

Una vez más, gracias y saludos !

-al1



"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
No hay manera... ni en windows ni en ningun sistema que yo sepa...

Es una de las deficiencias basicas del tcp/ip tal y como está definido (y
hay que cumplirlo...). Pero tampoco hay que ser alarmista. esto por
internet no puede pasar: solo en la propia red local. Es peligroso en
empresas con multiples PC's y personal "externo" que pueden obtener
informacion de donde no deben...

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y


no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no


rights.
You assume all risk for your use.




"al0ne" wrote in message
news:
Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos


de
sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto


minimizar
el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de




cripto
implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a


ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del




todo
bien, creo que la base queda clara ;) )

-al1






Respuesta Responder a este mensaje
#5 JM Tella Llop [MVP Windows]
14/05/2004 - 17:36 | Informe spam
Monitorizar la red... es la unica solucion.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message news:u$
Exacto ! , y de aquí mi consulta de lo del arp-poisoning , para evitar
sniffers , ya que es una lan totalmente switcheada, y la unica manera de
"sniffar" es mediante las tablas arp.
A parte de una técnica que he estado leyendo basada en inundar la cam table
( Content Addressable Memory ) del switch, que una especie de mega-cache
arp qeu tiene el switch y "envenenandola" posteriormente ;) !

O sea que a parte de una monitorizacion de las tarjetas continua ( cada x
tiempo ) no hay nada que hacer , no ?

Gracias de nuevo, es un placer compartir el "hilo" con un master !

saludos !


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:ul6%
No te vale ninguna solucion.
Desde una maquina te manipulan perfectamente la tabla de ARP's de otra.

Es la broma mas usada en los trabajos... modificas la tabla ARP de otra
maquina desde la tuya para cambiarle el gateway por tanto dejarla ciega.
(solo vale para la subred local). Recuerda que la resolucion ARP solo es
para subred local.

No creo que ninguna auditoria se meta en estas cosas. Lo que es importante
de cara a auditorias en las empresas: que ninguna tarjeta puede estar ni
esté en modo promiscuo. Y que se usen switchs... no hub's... (estas cosas de
cara a lo que has comentado)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message
news:
Gracias por la respuesta !!

Entonces, de cara a minimizar el riesgo , quizás debería ir pensando en
habilitar las restricciones de instalacion/manipulacion de software en los
nodos que no la tengan ¿?¿ --> O crees que hay alguna otra alternativa ?

Es decir, entiendo que si la llamémosle "anomalía" es inherente de tcp/ip


y
no de la pila implementada por el fabricante,
tengo que "tirar por otro lado" para minimizar el posible riesgo , no ?

Lo que prentendo básicamente, es de cara a una auditoria externa , poder
"demostrar" que se han tomado medidas
para paliar el tema

Una vez más, gracias y saludos !

-al1



"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
No hay manera... ni en windows ni en ningun sistema que yo sepa...

Es una de las deficiencias basicas del tcp/ip tal y como está definido (y
hay que cumplirlo...). Pero tampoco hay que ser alarmista. esto por
internet no puede pasar: solo en la propia red local. Es peligroso en
empresas con multiples PC's y personal "externo" que pueden obtener
informacion de donde no deben...

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y


no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no


rights.
You assume all risk for your use.




"al0ne" wrote in message
news:
Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos


de
sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto


minimizar
el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de




cripto
implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a


ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del




todo
bien, creo que la base queda clara ;) )

-al1










email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida