[Consulta] - Prevenir envenenamiento arp

No hay manera... ni en windows ni en ningun sistema que yo sepa...

Es una de las deficiencias basicas del tcp/ip tal y como está definido (y hay que cumplirlo...). Pero tampoco hay que ser alarmista. esto por internet no puede pasar: solo en la propia red local. Es peligroso en empresas con multiples PC's y personal "externo" que pueden obtener informacion de donde no deben...

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message news:

Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos de
sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto minimizar
el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de cripto
implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del todo
bien, creo que la base queda clara ;) )

-al1

Gracias por la respuesta !!

Entonces, de cara a minimizar el riesgo , quizás debería ir pensando en
habilitar las restricciones de instalacion/manipulacion de software en los
nodos que no la tengan ¿?¿ --> O crees que hay alguna otra alternativa ?

Es decir, entiendo que si la llamémosle "anomalía" es inherente de tcp/ip y
no de la pila implementada por el fabricante,
tengo que "tirar por otro lado" para minimizar el posible riesgo , no ?

Lo que prentendo básicamente, es de cara a una auditoria externa , poder
"demostrar" que se han tomado medidas
para paliar el tema

Una vez más, gracias y saludos !

-al1



"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
No hay manera... ni en windows ni en ningun sistema que yo sepa...

Es una de las deficiencias basicas del tcp/ip tal y como está definido (y
hay que cumplirlo...). Pero tampoco hay que ser alarmista. esto por
internet no puede pasar: solo en la propia red local. Es peligroso en
empresas con multiples PC's y personal "externo" que pueden obtener
informacion de donde no deben...

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message
news:

Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos

de

sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto

minimizar

el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de cripto
implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a

ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del todo
bien, creo que la base queda clara ;) )

-al1

No te vale ninguna solucion.
Desde una maquina te manipulan perfectamente la tabla de ARP's de otra.

Es la broma mas usada en los trabajos... modificas la tabla ARP de otra maquina desde la tuya para cambiarle el gateway por tanto dejarla ciega. (solo vale para la subred local). Recuerda que la resolucion ARP solo es para subred local.

No creo que ninguna auditoria se meta en estas cosas. Lo que es importante de cara a auditorias en las empresas: que ninguna tarjeta puede estar ni esté en modo promiscuo. Y que se usen switchs... no hub's... (estas cosas de cara a lo que has comentado)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message news:

Gracias por la respuesta !!

Entonces, de cara a minimizar el riesgo , quizás debería ir pensando en
habilitar las restricciones de instalacion/manipulacion de software en los
nodos que no la tengan ¿?¿ --> O crees que hay alguna otra alternativa ?

Es decir, entiendo que si la llamémosle "anomalía" es inherente de tcp/ip y
no de la pila implementada por el fabricante,
tengo que "tirar por otro lado" para minimizar el posible riesgo , no ?

Lo que prentendo básicamente, es de cara a una auditoria externa , poder
"demostrar" que se han tomado medidas
para paliar el tema

Una vez más, gracias y saludos !

-al1



"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
No hay manera... ni en windows ni en ningun sistema que yo sepa...

Es una de las deficiencias basicas del tcp/ip tal y como está definido (y
hay que cumplirlo...). Pero tampoco hay que ser alarmista. esto por
internet no puede pasar: solo en la propia red local. Es peligroso en
empresas con multiples PC's y personal "externo" que pueden obtener
informacion de donde no deben...

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message
news:

Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos

de

sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto

minimizar

el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de cripto
implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a

ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del todo
bien, creo que la base queda clara ;) )

-al1

Exacto ! , y de aquí mi consulta de lo del arp-poisoning , para evitar
sniffers , ya que es una lan totalmente switcheada, y la unica manera de
"sniffar" es mediante las tablas arp.
A parte de una técnica que he estado leyendo basada en inundar la cam table
( Content Addressable Memory ) del switch, que una especie de mega-cache
arp qeu tiene el switch y "envenenandola" posteriormente ;) !

O sea que a parte de una monitorizacion de las tarjetas continua ( cada x
tiempo ) no hay nada que hacer , no ?

Gracias de nuevo, es un placer compartir el "hilo" con un master !

saludos !


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:ul6%
No te vale ninguna solucion.
Desde una maquina te manipulan perfectamente la tabla de ARP's de otra.

Es la broma mas usada en los trabajos... modificas la tabla ARP de otra
maquina desde la tuya para cambiarle el gateway por tanto dejarla ciega.
(solo vale para la subred local). Recuerda que la resolucion ARP solo es
para subred local.

No creo que ninguna auditoria se meta en estas cosas. Lo que es importante
de cara a auditorias en las empresas: que ninguna tarjeta puede estar ni
esté en modo promiscuo. Y que se usen switchs... no hub's... (estas cosas de
cara a lo que has comentado)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message
news:

Gracias por la respuesta !!

Entonces, de cara a minimizar el riesgo , quizás debería ir pensando en
habilitar las restricciones de instalacion/manipulacion de software en los
nodos que no la tengan ¿?¿ --> O crees que hay alguna otra alternativa ?

Es decir, entiendo que si la llamémosle "anomalía" es inherente de tcp/ip

y

no de la pila implementada por el fabricante,
tengo que "tirar por otro lado" para minimizar el posible riesgo , no ?

Lo que prentendo básicamente, es de cara a una auditoria externa , poder
"demostrar" que se han tomado medidas
para paliar el tema

Una vez más, gracias y saludos !

-al1



"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
No hay manera... ni en windows ni en ningun sistema que yo sepa...

Es una de las deficiencias basicas del tcp/ip tal y como está definido (y
hay que cumplirlo...). Pero tampoco hay que ser alarmista. esto por
internet no puede pasar: solo en la propia red local. Es peligroso en
empresas con multiples PC's y personal "externo" que pueden obtener
informacion de donde no deben...

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.




"al0ne" wrote in message
news:

Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos

de

sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto

minimizar

el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de

cripto

implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a

ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del

todo

bien, creo que la base queda clara ;) )

-al1

Monitorizar la red... es la unica solucion.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message news:u$

Exacto ! , y de aquí mi consulta de lo del arp-poisoning , para evitar
sniffers , ya que es una lan totalmente switcheada, y la unica manera de
"sniffar" es mediante las tablas arp.
A parte de una técnica que he estado leyendo basada en inundar la cam table
( Content Addressable Memory ) del switch, que una especie de mega-cache
arp qeu tiene el switch y "envenenandola" posteriormente ;) !

O sea que a parte de una monitorizacion de las tarjetas continua ( cada x
tiempo ) no hay nada que hacer , no ?

Gracias de nuevo, es un placer compartir el "hilo" con un master !

saludos !


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:ul6%
No te vale ninguna solucion.
Desde una maquina te manipulan perfectamente la tabla de ARP's de otra.

Es la broma mas usada en los trabajos... modificas la tabla ARP de otra
maquina desde la tuya para cambiarle el gateway por tanto dejarla ciega.
(solo vale para la subred local). Recuerda que la resolucion ARP solo es
para subred local.

No creo que ninguna auditoria se meta en estas cosas. Lo que es importante
de cara a auditorias en las empresas: que ninguna tarjeta puede estar ni
esté en modo promiscuo. Y que se usen switchs... no hub's... (estas cosas de
cara a lo que has comentado)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"al0ne" wrote in message
news:

Gracias por la respuesta !!

Entonces, de cara a minimizar el riesgo , quizás debería ir pensando en
habilitar las restricciones de instalacion/manipulacion de software en los
nodos que no la tengan ¿?¿ --> O crees que hay alguna otra alternativa ?

Es decir, entiendo que si la llamémosle "anomalía" es inherente de tcp/ip

y

no de la pila implementada por el fabricante,
tengo que "tirar por otro lado" para minimizar el posible riesgo , no ?

Lo que prentendo básicamente, es de cara a una auditoria externa , poder
"demostrar" que se han tomado medidas
para paliar el tema

Una vez más, gracias y saludos !

-al1



"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
No hay manera... ni en windows ni en ningun sistema que yo sepa...

Es una de las deficiencias basicas del tcp/ip tal y como está definido (y
hay que cumplirlo...). Pero tampoco hay que ser alarmista. esto por
internet no puede pasar: solo en la propia red local. Es peligroso en
empresas con multiples PC's y personal "externo" que pueden obtener
informacion de donde no deben...

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.




"al0ne" wrote in message
news:

Hay alguna manera posible ( mediante registro o similar ) de hacer que el
windows xp haga caso de las tablas estáticas arp, en caso de intento de
envenenamiento, falsificación, saturación , etc... ¿?

En un entorno windows, que medidas pueden tomarse para paliar los efectos

de

sniffers , y manejo de tablas arp ?¿

El problema es que hay nodos en la red ( local ) , que no tienen
restricciones en cuanto a instalar software , y quisiera tener
este aspecto controlado ( un posible sniffring ) , o en su defecto

minimizar

el riesgo al máximo ..., en principio quisiera evitar
soluciones basadas en criptografia ( el acceso es mediante recurso
compartido en un servidro centralizado , y pienso que cambiar esto podría
ser un caos para los usuarios, y si por otro lado no se que tipo de

cripto

implementar para que sigan trabajando de esta manera, y no pierda
funcionalidad ( la red se vuelva la ostia de lenta al acceder a

ficheros ).

He encontrado la utilidad winarpwatch ( basada en la herramienta arpwatch
para linux ) , que va comparando la cache arp
por si ve alguna cosa rar, pero no me gustaría tener que instalar nada en
los clientes ...

Gracias y un saludo a todo el grupo ! ( perdón si no me explicado del

todo

bien, creo que la base queda clara ;) )

-al1