¿es peligroso el ARP?

Hola,
ARP es el encargado de diferenciar una direccion fisica de una direccion logica (IP), saca tu mismo las conclusiones


Saludos

Antonio FD


MS Windows Embedded


"manolo" escribió en el mensaje news:157a101c446d4$a3f63810$
He leido en alguna pagina que el ARP es un metodo de
resolucion de direcciones Ip en direcciones fisicas, pero
es que está sin seguridad y que existe un peligro
altisimo por este protocolo.

¿cuanto de verdad hay en esto?.

salu2.

Hola,
Puedes leer un poco mas sobre lo preciso de arp por aqui,
http://www.microsoft.com/windows200...nd_arp.htm


Saludos

Antonio FD


MS Windows Embedded


"manolo" escribió en el mensaje news:157a101c446d4$a3f63810$
He leido en alguna pagina que el ARP es un metodo de
resolucion de direcciones Ip en direcciones fisicas, pero
es que está sin seguridad y que existe un peligro
altisimo por este protocolo.

¿cuanto de verdad hay en esto?.

salu2.

Te pego la respuesta que le di una vez a un compañero que preguntó en este foro. La he guardado porque pienso complementarla en algun articulo. Te la pego aquí:
-
Veamos un poco primero como funciona el tcp/ip. Los mensajes que salen de nuestra maquina van dirigidos siempre a una direccion "fisica" (a una MAC). -excepto los mensajes broadcasting, pero vamos a olvidarnos de estos por el momento-

Por tanto, la pila tcp/ip debe resolver la direccion fisica de la maquina destino. El funcionamiento del tcp/ip, siempre intenta resolver direcciones IP pero la salida fisica del mensaje es a una MAC. La manera de resolverlo es:

1) Investigar si la IP destino está en nuestra red local. La manera es realizar un AND (bit a bit) de la direccion origen (la nuestra) y la mascara, y la direccion destino y la mascara de red. Si son iguales, pertenece a nuestra subred.

2) Si *NO* pertenece a nuestra subred, se investiga en la tabla de rutas (verla mediante comando: route print) y se enviará a la puerta de enlace (gateway) correspondiente.

3) Si pertenece a nuestra subred, se envia a la red local.

Ahora bien, cuando decimos *se envia* ¿que queremos decir? simple: que se envia a la direccion FISICA (MAC) correspondiente.

El tema está ¿como se saben estas direcciones MAC?

Para ello existe el protocolo ARP.
Los sistemas operativos tienen una caché de ARP en la cual tienen unas tablas de direcciones IP y sus MAC. Si en nuestra maquina ejecutamos el comando:

arp -a

veremos las que tenemos en este momento.

¿Como se alimenta dicha tabla?: Pues precisamente con el protocolo ARP. A la hora de resolver a donde enviar un mensaje, se mirtra primero en la tabla de ARP. Si no existe, se envia un mensaje ARP por difusion (broadcasting), es decir, dirigido a toda la red y la maquina que tenga esa IP responderá. Automaticamente el sistema operativo se la guardará en la tabla ARP y a partir de ese momento la usará. Estas direcciones MAC, seran tanto de las maquinas de nuestra subred como de la puerta de enlace.

Con esto queda resuleto el tema de envio de mensajes a direcciones fisicas.

Ahora bien... ¿posibles problemas de seguridad en esto?: sencillo: debido a ese mecanismos de funcionamiento, si nuestra maquina recibe un mensaje ARP con una IP y una MAC... se lo creerá (no le queda otro remedio, es precisamente una caracteristica inherente al protocolo y sino no funcionaria el tcp/ip).

Fijemonos, y esto es importante: SOLO se transmiute el ARP en nuestra subred local. Por tanto no es posible un ataque de estos desde internet. (pero pueden ser sensibles las subredes de ciertos proveedores de internet que te dan una direccion privada en vez de una publica).

A lo que ibamos... si alguien desde nuestra subred envia un mensaje ARP dandonos que la direccion del gateway de salida es la MAC de su propia maquina (por ejemplo), todos los mensajes que fuesen a salir de nuestra maquina al gateway, iran a la MAC de esa persiona maliciosa: a su maquina (que a su vezm y una vez analizado el contenido del mensaje puede reenviarlo realmente al gateway y por tanto para nostoros nos funcionará todo: PERO los mensajes han pasado por su maquina, por tanto han sido interceptados y leido su contenido).

Soluciones para esto: bien, lo primero usar SWITCHS en la red, en vez de HUB. Un SWITCH tiene las MAC de la subred y redirige los mensajes a la maquina especifica. Un HUB reenvia los mensajes a todas las bocas... por tanto aparte de perder tiempo y aumentar el trafico en la red... tambien permitiria que nos "escuchasen".

Tampoco es fiable: ya que hay tecnicas de inundar a mensajes con direcciones MAC a un SWITCH de tal manera que se le desborden sus tablas internas y a partir de ese momento podrian pasar limpiamente los mensajes como en un HUB. Pero al menos, algo hace de proteccion.

Espero que esto te ayude a comprender el mecanismo de funcionamiento del tcp.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"manolo" wrote in message news:157a101c446d4$a3f63810$
He leido en alguna pagina que el ARP es un metodo de
resolucion de direcciones Ip en direcciones fisicas, pero
es que está sin seguridad y que existe un peligro
altisimo por este protocolo.

¿cuanto de verdad hay en esto?.

salu2.