Preguntas técnicas

"XTT" escribió en el mensaje
news:

Estoy realizando un informe sobre la red y quisiera aclarar una serie de
dudas importantes.
¿Registran los Windows 9x las conexiones, interanes y/o externas, que se
realizan? ¿Y los XP/200 workstation?
En cualquiera de los dos tipos de sistemas, ¿queda algún rastro de una
determinada conexión?

No registran nada, para eso estan los cortafuegos, proxys, etc...

¿Qué datos de una conexión suelen almacenar los ISP? ¿Registran la
dirección
MAC?

La direccion MAC solo se emplea dentro de la propia subred. Si conoces un
poco el funcionamiento del TCP/IP, la direccion IP origen y destino de una
trama se mantienen (siempre que no se realice NAT), y la MAC es la que va
cambiando. En cualquier manual de TCP/IP esto esta explicado.

En un supuesto caso de IP Spoofing, ¿cómo se podría diferenciar la máquina
atacante de la falseada?

Capturando trafico y analizando la trama o tramas con la direccion IP origen
falseada para ver cual es la direccion MAC que origina la trama.

¿Quedaría registrado en una lan básica (todo XP) un
caso de ARP Spoofing?

Necesitas sistemas que sean capaces de detectar esto. Cortafuegos, IDSs, etc

Si un ordenador bloquea la conexión en un determinado puerto, ¿los
registros
del ISP mostraán que está bloqueado, o simplemente la verá como una
petición
de conexión?

No creo que el ISP pinte nada aqui

Un saludo.
Ivan
MS MVP ISA Server

Hola Ivan, primero gracias por responder, pero creo que algunas preguntas no
me las has entendido bien.
Para detectar un posible intento de IP Spoofing habría que comparar la trama
original y la trama falseada, y observar la MAC de cada uno de los orígenes.
Ahora bien, creo recordar (y no estoy ni mucho menos seguro) que cualquier
trama que use TCP/IP contiene en la cabecera la MAC origen. Si esto es así,
también las tramas, falseadas o no, que pasen por el ISP contendrán la MAC,
de lo contrario no sería posible comprobar si la IP origen ha sido falseada.
Respecto a la cuestión de puertos, si el ISP tiene instalado un proxy que
usan los clientes, la máquina comprobará si cada una de las solicitudes que
se realizan se puede llevar a cabo, o no. Tal que así:
Origen <> Proxy <> Destino (puerto solicitado bloqueado)
De ahí mi pregunta, si el proxy registraría esto. Una cuestión más, el proxy
de Telefónica y demás ISP que lo puedan tener, ¿es sólo para las conexiones
http/s?


"Ivan [MS MVP]" escribió en el mensaje
news:

"XTT" escribió en el mensaje
news:
> Estoy realizando un informe sobre la red y quisiera aclarar una serie de
> dudas importantes.
> ¿Registran los Windows 9x las conexiones, interanes y/o externas, que se
> realizan? ¿Y los XP/200 workstation?
> En cualquiera de los dos tipos de sistemas, ¿queda algún rastro de una
> determinada conexión?

No registran nada, para eso estan los cortafuegos, proxys, etc...

> ¿Qué datos de una conexión suelen almacenar los ISP? ¿Registran la
> dirección
> MAC?

La direccion MAC solo se emplea dentro de la propia subred. Si conoces un
poco el funcionamiento del TCP/IP, la direccion IP origen y destino de una
trama se mantienen (siempre que no se realice NAT), y la MAC es la que va
cambiando. En cualquier manual de TCP/IP esto esta explicado.

> En un supuesto caso de IP Spoofing, ¿cómo se podría diferenciar la

máquina

> atacante de la falseada?

Capturando trafico y analizando la trama o tramas con la direccion IP

origen

falseada para ver cual es la direccion MAC que origina la trama.

>¿Quedaría registrado en una lan básica (todo XP) un
> caso de ARP Spoofing?

Necesitas sistemas que sean capaces de detectar esto. Cortafuegos, IDSs,

etc

> Si un ordenador bloquea la conexión en un determinado puerto, ¿los
> registros
> del ISP mostraán que está bloqueado, o simplemente la verá como una
> petición
> de conexión?

No creo que el ISP pinte nada aqui

Un saludo.
Ivan
MS MVP ISA Server

"XTT" escribió en el mensaje
news:

Hola Ivan, primero gracias por responder, pero creo que algunas preguntas
no
me las has entendido bien.
Para detectar un posible intento de IP Spoofing habría que comparar la
trama
original y la trama falseada, y observar la MAC de cada uno de los
orígenes.

No hay trama original y trama falseada, solo hay una trama. Imagina que ISA
detecta un IP spoofing ? como sabes donde se origina la trama ? capturas
trafico, identificas la trama y miras su direccion MAC. Si la MAC no es la
del rouetr que te da acceso a internet, el origen de esa trama es la red
interna y tendrias que intentar identificar la maquina que tiene dicha MAC.
Por contra, si la MAC es la del rouetr que te da acceso a internet, no
puedes identificar el origen.
Si tu administras el router, podrias configurarlo para que descarte el
trafico IP que incluye direcciones origen invalidas. Si es el ISP, el
deberia encargarse (si es posible).

Ahora bien, creo recordar (y no estoy ni mucho menos seguro) que cualquier
trama que use TCP/IP contiene en la cabecera la MAC origen. Si esto es
así,
también las tramas, falseadas o no, que pasen por el ISP contendrán la
MAC,
de lo contrario no sería posible comprobar si la IP origen ha sido
falseada.

Nop, la MAC cambia y no se mantiene. Mira este esquema:

Host1<->Router1<->Router2<->Host2

Imagina que intentas establecer la conexion entre Host1 y Host2.
Host1determina que Host2 no esta en la subred local y por lo tanto debe
enviarlo a Router1.Host1 utiliza el protocolo ARP y resuelve en MAC la IP de
Router1 y envia una trama ethernet con estos datos:
MAC Origen: Host1
MAC Destino: Router1
IP origen: Host1
IP destino: Host2

Cuando Router1 recibe esta trama, segun su tabla de rutas sabe que para
alcanzar Host2, debe enviar la trama a Router2. Router1 emplea el protocolo
ARP y resuelve a MAC la IP de Router2 y envia esta trama:
MAC Origen: Router1
MAC Destino: Router2
IP origen: Host1
IP destino: Host2

Cuando Router2 recibe la trama anterior, determina que Host2 pertenece a la
subred local y unicamente debe resolver a MAC la direccion IP de Host2
usando el protocolo ARP. Una vez resuelta la MAC, envia esta trama:
MAC Origen: Router2
MAC Destino: Host2
IP origen: Host1
IP destino: Host2

Como ves, las IPs se mentienen ( de toda logica) y la direccion MAC cambia.
Cuando Host2 recibe la trama y tiene que responder, el proceso es el mismo.

Respecto a la cuestión de puertos, si el ISP tiene instalado un proxy que
usan los clientes, la máquina comprobará si cada una de las solicitudes
que
se realizan se puede llevar a cabo, o no. Tal que así:
Origen <> Proxy <> Destino (puerto solicitado bloqueado)

No, no, el ISP te filtra algun protocolo ? como entonces puede saber que tu
no puedes hacer un telnet a www.microsoft.com en el puerto 135 ?

De ahí mi pregunta, si el proxy registraría esto. Una cuestión más, el
proxy
de Telefónica y demás ISP que lo puedan tener, ¿es sólo para las
conexiones
http/s?

Un proxy como el de telefonica solo es para HTTP y algunos protocolos de
streaming. Tienes informacion sobre ello en la pagina de telefonica (no
recuerso ahora la URL y no la tengo a mano). Otra cosa es un proxy socks que
si permite otros protocolos. Que registran o que no registran ? pues eso
habria que preguntarselo al ISP, pero imagino que si, que registraran
bastante informacion.

Un saludo.
Ivan
MS MVP ISA Server

Una última cuestión... Windows XP (por ejemplo) no registra nada cuando está
activa la conexión compartida? Es decir, si el servidor de la red doméstica
es un XP con varios clientes 98/XP, no guarda ningún tipo de información
acerca de las peticiones o conexiones de su conexión compartida?


"Ivan [MS MVP]" escribió en el mensaje
news:

"XTT" escribió en el mensaje
news:
> Hola Ivan, primero gracias por responder, pero creo que algunas

preguntas

> no
> me las has entendido bien.
> Para detectar un posible intento de IP Spoofing habría que comparar la
> trama
> original y la trama falseada, y observar la MAC de cada uno de los
> orígenes.

No hay trama original y trama falseada, solo hay una trama. Imagina que

ISA

detecta un IP spoofing ? como sabes donde se origina la trama ? capturas
trafico, identificas la trama y miras su direccion MAC. Si la MAC no es la
del rouetr que te da acceso a internet, el origen de esa trama es la red
interna y tendrias que intentar identificar la maquina que tiene dicha

MAC.

Por contra, si la MAC es la del rouetr que te da acceso a internet, no
puedes identificar el origen.
Si tu administras el router, podrias configurarlo para que descarte el
trafico IP que incluye direcciones origen invalidas. Si es el ISP, el
deberia encargarse (si es posible).

> Ahora bien, creo recordar (y no estoy ni mucho menos seguro) que

cualquier

> trama que use TCP/IP contiene en la cabecera la MAC origen. Si esto es
> así,
> también las tramas, falseadas o no, que pasen por el ISP contendrán la
> MAC,
> de lo contrario no sería posible comprobar si la IP origen ha sido
> falseada.

Nop, la MAC cambia y no se mantiene. Mira este esquema:

Host1<->Router1<->Router2<->Host2

Imagina que intentas establecer la conexion entre Host1 y Host2.
Host1determina que Host2 no esta en la subred local y por lo tanto debe
enviarlo a Router1.Host1 utiliza el protocolo ARP y resuelve en MAC la IP

de

Router1 y envia una trama ethernet con estos datos:
MAC Origen: Host1
MAC Destino: Router1
IP origen: Host1
IP destino: Host2

Cuando Router1 recibe esta trama, segun su tabla de rutas sabe que para
alcanzar Host2, debe enviar la trama a Router2. Router1 emplea el

protocolo

ARP y resuelve a MAC la IP de Router2 y envia esta trama:
MAC Origen: Router1
MAC Destino: Router2
IP origen: Host1
IP destino: Host2

Cuando Router2 recibe la trama anterior, determina que Host2 pertenece a

la

subred local y unicamente debe resolver a MAC la direccion IP de Host2
usando el protocolo ARP. Una vez resuelta la MAC, envia esta trama:
MAC Origen: Router2
MAC Destino: Host2
IP origen: Host1
IP destino: Host2

Como ves, las IPs se mentienen ( de toda logica) y la direccion MAC

cambia.

Cuando Host2 recibe la trama y tiene que responder, el proceso es el

mismo.

> Respecto a la cuestión de puertos, si el ISP tiene instalado un proxy

que

> usan los clientes, la máquina comprobará si cada una de las solicitudes
> que
> se realizan se puede llevar a cabo, o no. Tal que así:
> Origen <> Proxy <> Destino (puerto solicitado bloqueado)

No, no, el ISP te filtra algun protocolo ? como entonces puede saber que

tu

no puedes hacer un telnet a www.microsoft.com en el puerto 135 ?

> De ahí mi pregunta, si el proxy registraría esto. Una cuestión más, el
> proxy
> de Telefónica y demás ISP que lo puedan tener, ¿es sólo para las
> conexiones
> http/s?

Un proxy como el de telefonica solo es para HTTP y algunos protocolos de
streaming. Tienes informacion sobre ello en la pagina de telefonica (no
recuerso ahora la URL y no la tengo a mano). Otra cosa es un proxy socks

que

si permite otros protocolos. Que registran o que no registran ? pues eso
habria que preguntarselo al ISP, pero imagino que si, que registraran
bastante informacion.

Un saludo.
Ivan
MS MVP ISA Server

No que yo sepa.

Un saludo.
Ivan
MS MVP ISA Server


"XTT" escribió en el mensaje
news:

Una última cuestión... Windows XP (por ejemplo) no registra nada cuando
está
activa la conexión compartida? Es decir, si el servidor de la red
doméstica
es un XP con varios clientes 98/XP, no guarda ningún tipo de información
acerca de las peticiones o conexiones de su conexión compartida?


"Ivan [MS MVP]" escribió en el mensaje
news:

"XTT" escribió en el mensaje
news:
> Hola Ivan, primero gracias por responder, pero creo que algunas

preguntas

> no
> me las has entendido bien.
> Para detectar un posible intento de IP Spoofing habría que comparar la
> trama
> original y la trama falseada, y observar la MAC de cada uno de los
> orígenes.

No hay trama original y trama falseada, solo hay una trama. Imagina que

ISA

detecta un IP spoofing ? como sabes donde se origina la trama ? capturas
trafico, identificas la trama y miras su direccion MAC. Si la MAC no es
la
del rouetr que te da acceso a internet, el origen de esa trama es la red
interna y tendrias que intentar identificar la maquina que tiene dicha

MAC.

Por contra, si la MAC es la del rouetr que te da acceso a internet, no
puedes identificar el origen.
Si tu administras el router, podrias configurarlo para que descarte el
trafico IP que incluye direcciones origen invalidas. Si es el ISP, el
deberia encargarse (si es posible).

> Ahora bien, creo recordar (y no estoy ni mucho menos seguro) que

cualquier

> trama que use TCP/IP contiene en la cabecera la MAC origen. Si esto es
> así,
> también las tramas, falseadas o no, que pasen por el ISP contendrán la
> MAC,
> de lo contrario no sería posible comprobar si la IP origen ha sido
> falseada.

Nop, la MAC cambia y no se mantiene. Mira este esquema:

Host1<->Router1<->Router2<->Host2

Imagina que intentas establecer la conexion entre Host1 y Host2.
Host1determina que Host2 no esta en la subred local y por lo tanto debe
enviarlo a Router1.Host1 utiliza el protocolo ARP y resuelve en MAC la IP

de

Router1 y envia una trama ethernet con estos datos:
MAC Origen: Host1
MAC Destino: Router1
IP origen: Host1
IP destino: Host2

Cuando Router1 recibe esta trama, segun su tabla de rutas sabe que para
alcanzar Host2, debe enviar la trama a Router2. Router1 emplea el

protocolo

ARP y resuelve a MAC la IP de Router2 y envia esta trama:
MAC Origen: Router1
MAC Destino: Router2
IP origen: Host1
IP destino: Host2

Cuando Router2 recibe la trama anterior, determina que Host2 pertenece a

la

subred local y unicamente debe resolver a MAC la direccion IP de Host2
usando el protocolo ARP. Una vez resuelta la MAC, envia esta trama:
MAC Origen: Router2
MAC Destino: Host2
IP origen: Host1
IP destino: Host2

Como ves, las IPs se mentienen ( de toda logica) y la direccion MAC

cambia.

Cuando Host2 recibe la trama y tiene que responder, el proceso es el

mismo.

> Respecto a la cuestión de puertos, si el ISP tiene instalado un proxy

que

> usan los clientes, la máquina comprobará si cada una de las solicitudes
> que
> se realizan se puede llevar a cabo, o no. Tal que así:
> Origen <> Proxy <> Destino (puerto solicitado bloqueado)

No, no, el ISP te filtra algun protocolo ? como entonces puede saber que

tu

no puedes hacer un telnet a www.microsoft.com en el puerto 135 ?

> De ahí mi pregunta, si el proxy registraría esto. Una cuestión más, el
> proxy
> de Telefónica y demás ISP que lo puedan tener, ¿es sólo para las
> conexiones
> http/s?

Un proxy como el de telefonica solo es para HTTP y algunos protocolos de
streaming. Tienes informacion sobre ello en la pagina de telefonica (no
recuerso ahora la URL y no la tengo a mano). Otra cosa es un proxy socks

que

si permite otros protocolos. Que registran o que no registran ? pues eso
habria que preguntarselo al ISP, pero imagino que si, que registraran
bastante informacion.

Un saludo.
Ivan
MS MVP ISA Server