insistiendo sobre el ARP

Veamos: los mensajes "fisicos" por la red, deben salir a una direccion MAC (direccion fisica, bien de otra maquina si es de nuestra subred, o bien la de la puerta de enlace (gateway) si no fuese alcanzable la maquina en nuestra subred. Esto es por la definicion del protocolo.
La manera de saber la direccion MAC de las maquinas, es mediante ARP. Cuando nuestra maquina no sabe a que direccion enviar un paquete tcp, lo primero que hace, y de acuerdo con la definicion del protocolo tcp/ip, es mediante ARP envia un "broadcast" es decir a todas la red, preguntando quien tiene esa IP. La maquina responsable responderá dando su direccion fisica. A partir de ahi, ya puede enviarse el mensaje. Si la IP a la que queremos llegar no está en nuestra subred (esto ya lo sabe el tcp/ip a priori viendo la mascara de red y la IP de la maquina), lo enviará a la direccion MAC de nuestra puerta de enlace. (la cual retransmitirá siguiendo el mismo mecanismo hasta alcanzar la maquina destino).

Para ahorrar esos "broadcast" a la red de peticion de la MAC, simplemente segun se van recibiendo se van almacenando en una tabla interna y que puede consultarse en una ventana de comandos mediante el comando:

arp -a

El protocolo ARP es transparente y lo gestion directamente el tcp. Ahora bien ¿que pasa si una maquina recibe un paquete ARP, informando que la direccion MAC de la puerta de enlace de nuestra maquina es otra. O si la direccion MAC de cualquiera de las maquinas de nuestra subred, es otra. Simplemente que el tcp/ip se lo cree. No tiene manera de contrastarlo.

Por ello, una persona maliciosa dentro de nuestra subred (el ARP no atraviesa routers) puede mediante un programa malicioso enviar informacion ARP a nuestra maquina informando que la puerta de enlace tiene una determinada MAC, y ademas que las maquinas de nuestra subred, tienen esa misma MAC, y además, esa MAC, ser la MAC de la maquina que nos está atacando. ¿que se consigue con esto?, pues que todos los paquetes que salgan de esa maquina, pasen por esa maquina maliciosa (ella, posteriormente, despues de analizar el contenido, los reenviará a la maquina destino, haciendo como un "puente"). Por tanto todo el trafico de red pasa por esa maquina y es por tanto analizable...

¿Soluciones? Comunicaciones encriptadas. Tuneles IPSESC (por ejemplo). Incluso uso de swirchs en vez de HUB ya que esto conocen las direcciones fisicas de las maquinas. Tambien son "violables" los switch.. pero constituyen un freno importante.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




wrote in message news:172c001c4489d$75167d50$
Ayer pregunté sobre la posibilidad de que mis datos sean
conocidos por el que quiera de mi red local y parece ser
que debido a tal y como funciona el tcp/ip, en particular
el ARP esto es posible.

Pero, ¿y no setá trabajando, algun comité de los que
definió el tcp, sobre esto?