Mailinglist Archive: opensuse-es (1387 mails)

< Previous Next >
Re: [suse-linux-s] Re: Mas alla de SQUID
  • From: "Carlos E. R." <robin1.listas@xxxxxxxxxx>
  • Date: Sat, 15 Oct 2005 01:03:21 +0200 (CEST)
  • Message-id: <Pine.LNX.4.61.0510150038090.12010@xxxxxxxxxxxxxxxx>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


El 2005-10-14 a las 14:32 -0700, Jorge Evangelista escribió:

> Carlos los programadores se pueden cambiar ademas la MAC con este
> programa por ejemplo
> http://www.klcconsulting.net/smac/default.htm?v=smac12
> usa arpalert para controlar esto, arpalert usa las direcciones ARP
> para monitorear y prevenir de conexiones no autorizadas en tu red.
>
> http://perso.numericable.fr/~fourthie/arpalert.php

Vamos a ver... un poco de documentación primero {arp(7)}:

DESCRIPTION
This kernel protocol module implements the Address Resolution
Protocol defined in RFC 826. It is used to convert between Layer2
hardware addresses and IPv4 protocol addresses on directly
connected networks. The user normally doesn't interact directly
with this module except to configure it; instead it provides a
service for other protocols in the kernel.


Luego arp simplemente sirve para encontrar la relación entre la dirección
IP y la dirección hardware, que en el caso de las tarjetas ethernet, se
trata de la dirección MAC. Por otro lado, sabemos que hay programas que
permiten configurar (cambiar) la dirección MAC, y un buen programador lo
sabe.

Es cierto que hay programas que pueden observar la red y mantener una
tabla de las MACs y de las IPs que usan cada una - por ejemplo, el demonio
"arpd" podría usarse para eso:

nimrodel:~ # arpd -l -b arpd.db
#Ifindex IP MAC
2 192.168.100.1 00:30:84:0a:8b:f5


pero también lo puedes sacar de /proc/net/arp:

IP address HW type Flags HW address Mask Device
192.168.100.1 0x1 0x2 00:30:84:0A:8B:F5 * eth0


Pero... ¿de que te sirve ver si alguien usa una IP no autorizada en una
MAC que no le corresponde, cuando los usuarios pueden falsificar tanto la
mac como la ip?

Es un procediiento que te puede avisar de violaciones, si... pero no te
garantiza que las encontrará. ¡No sirve!

- --
Saludos
Carlos Robinson
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iD8DBQFDUDlFtTMYHG2NR9URAgJVAJ4skCtSpP8pPGUY8vIX2nqUp3PX2wCeKPaq
7PAyw/dEd9CAxu7El3Tbe9g=
=uj/S
-----END PGP SIGNATURE-----
< Previous Next >