Tema destacado: Recuperar cuenta de Google, GMail, Youtube
 Autor
|
Tema: Multiples ordenadores con misma MAC - MITM, DNS spoofing... (Leído 5,458 veces)
|
ediskrad
 Desconectado
Mensajes: 35
Tayler tu primero!
|
[EDITO]
Buenas, tengo una dudilla; estoy en una red publica bastante grande; hay varias maquinas conectadas; lo he visto:
1. Con ettercap, escaneando por hosts.
2. Haciendo ping a broadcast
En el ettercap me aparecen todos los hosts con la misma MAC; y si miro la tabla ARP idem (logico): varias IPs y todas con la misma direccion MAC, que corresponde de hecho con la de la puerta de enlace (Router Cisco).
A que se debe? Es alguna medida de seguridad del router? Supongo que en estos casos no se pueden hacer MITM, para capturar tráfico por ejemplo, o hacer DNS spoofing.
Gracias gente.
|
|
|
|
« Última modificación: 21 Mayo 2009, 22:01 por ediskrad »
|
En línea
|
|
|
|
|
TRICKY
|
Que tal.
Comorr??
Explicate mejor. COmo has hecho el barrido? Con pings quizas, al como
# nmap -sP 192.168.1.0/24
??
Ah, y tras ello has mirado la tabla arp ( arp -a ) para ver si habia duplicados ??
Explicate mejor, porque eso de que todos los nodos tenga la direccion del AP... hehe.. suena raro.
Saludos.
/**** MODIFIKO ****/
Es mas, el titulo no va con lo que dices. En el titulo del hilo pone: "...con misma MAC.." y en el body del mensaje pones que te encuentras con que tienen la misma IP. Aclaranos.
|
|
|
|
« Última modificación: 21 Mayo 2009, 20:49 por averno »
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
ediskrad
Desconectado
Mensajes: 35
Tayler tu primero!
|
Buenas, perdon, escribí rapido y con poco tiempo, y obviamente no quedó tan coherente ni claro como hubiera querido. He reformulado la pregunta y reexplicado la situación. Espero que quede más claro. Gracias  |
|
|
|
|
En línea
|
|
|
|
|
TRICKY
|
Que tal.
Hmm... bueno, en que tipo de topologia fisica estas? Es una Red Ethernet, Token Ring o se trata de una WLAN?
Si pudistes hacer un ping a la direccion de Broadcast ... hmm.. no hay muy buena configuracion.
/* EN Linux con
# sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
se hubiera evitado pero .. */
El que todas las IPs tengan la misma MAC va contra toda regla de una Red basada en Ethernet o 802.11x. Es decir, que es practicamente imposible hasta donde yo se que se puedan dar comunicaciones fructiferas en una Red Ethernet si todas las MACs de los nodos son la misma!
que tipo de IPs son??
Bueno, Saludos.
/**** MODIFIKO ****/
Puedes hacer un Ping Sweep con nmap, y poner aqui la salida, a parte de la salida ( tras el Sweep ) de arp -a ??
|
|
|
|
« Última modificación: 21 Mayo 2009, 22:33 por averno »
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
ediskrad
Desconectado
Mensajes: 35
Tayler tu primero!
|
Buenas, pues es una red WLAN; de esas que van a traves de proxy para poder salir a internet. La verdad es que no tengo muy claro lo que puede ser; yo pensaba que no pudiese ser el punto de salida que oculta las MACS o algo (no tengo ni idea si eso es posible). En fin, ya miraré con más calma a ver. Gracias por la respuesta |
|
|
|
|
En línea
|
|
|
|
|
TRICKY
|
Que tal.
No se si estaras usando Netstumbler, Kismet o la utilidad de tu tarjeta wireless, pero no sera que lo que ves es que estan todos conectados a la misma MAC ?? ( o sea, el mismo BSSID == MAC del AP )
Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
ediskrad
Desconectado
Mensajes: 35
Tayler tu primero!
|
He usado ettercap, pero vamos, diria que era la mac lo que se repetia... de todos modos a ver si puedo hacer una captura y la pongo por aqui... A ver si soy yo que no me empano de lo que leo...
Aunque de hecho, estaba intantando haer dns spoofing, y nada de nada, prove desde otro orenador entrar al host spoofeado (*.microsoft.com) y nada.
|
|
|
|
|
En línea
|
|
|
|
|
TRICKY
|
Que tal.
Pero, estas asociado con el AP???
Si no lo estas, poco vas a mandar por la WLAN..
Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
ediskrad
Desconectado
Mensajes: 35
Tayler tu primero!
|
Sisi, estoy conectado, y tengo salida a inet. No se, a ver si mañana hago alguna prueba y te puedo dar algun detalle mas.
|
|
|
|
|
En línea
|
|
|
|
ediskrad
Desconectado
Mensajes: 35
Tayler tu primero!
|
Nada... no tiran los MITM, DNS spoofing... Creo que se usa un servidor RADIUS o algo.. puede tener algo que ver?
|
|
|
|
|
En línea
|
|
|
|
|
TRICKY
|
Que tal. Hombre a ver, como ya se ve estas conectado a un Hotspot comercial. Lo primero que debe de hacer ( si no es un Evil-Twin!! :___)) es practicar AP Isolation basada en clientes. Asi, los clientes no pueden comunicarse los unos con los otros. Bueno, lo de RADIUS es para la Authenticacion ( y para Authorization, si es que se implementa un login asi como para "evitar" Evil-Twins attacks ). Si que tiene que ver, y mas con el uso de WPA para asegurar mas aun la Red. Mirate algo sobre WPA-RADIUS o WPA2-RADIUS. Asi se elimina el problema de las sahred keys y se centraliza la authenticacion y los clientes adquieren una key WPA de solo un uso. Asi, el problema de la encriptacion esta mas resuelto y se evitan ataques como sniffing, ya que no es ya una shared key como en WEP. Esto es, WPA-WPA2 hacen un mejor trabajo contra el sniffing, pero como te dije antes es la caracteristica de AP Isolation la que te evita el poder hacer DNS Spoofing y demas en Hotspots como estos. Con AP Isolation vendria claro el "Client Isolation", que es lo que prima en estos contextos. Para esto del "AP Isolation"/"Client Isolation" y otras caracteristicas se suele implementar un firmware a los routers wireless llamado DD-WRT ( http://en.wikipedia.org/wiki/DD-WRT ) que esta basado en LINUX. En algunos routers wireless cisco pues existe el "Public secure Packet Forwarding", asi que no hace falta de firmware especial para ello. Mirate en el siguiente link, lo que esta resaltado en amarillo ( gracias a la pagina cacheada de Google, que lo que buscas en el Searchbox de Google vendra resalatado en amarillo si le das a "Cached" para ver la pagina desde la cache de Google.. Pufff... ): http://209.85.229.132/search?q=cache:KblEBsjsRq0J:www.cisco.com/web/techdoc/wireless/access_points/online_help/eag/123-02.JA/1400BR/h_ap_network-if_802-11_c.html+%22Public+Secure+Packet+Forwarding%22&cd=1&hl=en&ct=clnk&gl=ukSaludos. P.D: El problema es el de siempre: para uso de WPA-WPA2 nos encontramos con que a veces necesitamos de hardware que lo soporte, pero esto a ti no te incumbe mucho por ahora. /**** MODIFIKO ****/ Ten en cuenta que los APs que nos proporcionan nuestras ISPs ( o DSL/ADSL wireless routers ) vienen preparados con todas las medidas de seguridad para que nuestras abuelas puedan conectarse a Inet sin problemas. Piensa que en estos Hotspots las cosas se configuran de otra manera.. /**** MODIFIKO ****/ Que el Hotspot que estas usando tenga Client Isolation no quiere decir que todos los Hotspots lo tengan! Que nunca dije que todos lo tuvieran, eh!l.. Repito, cuidao con los Evil-Twins que cada dia estan mas al canto con el un mayor uso de Hotspots. /**** MODIFIKO ****/ Aunque solo una cosa.. dices que pudistes pingear a la dir de Broadcast y que respondieron.. Hmm.. puedes ver tambien las otras IPs conectadas al mismo AP.. Hmm.. puedes hacer un ping directamente a alguna de las IPs?? Si es asi, no creo que haya Client Isolation a bordo.. :____/ |
|
|
|
« Última modificación: 25 Mayo 2009, 20:40 por averno »
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
ediskrad
Desconectado
Mensajes: 35
Tayler tu primero!
|
Hostia, menuda explicación tio, no puedo sino agradecerte en primer lugar. Tal y como comentas es "mas o menos" un spot comercial... No usa cifrado WEP o WPA, simplemente pide una validación para poder salir a internet, así que puedo asociarme al AP sin problemas. De hecho tengo contraseña de acceso asi que puedo navegar, etc etc. Voy a comprobar lo que me comentas de AP Isolation, a ver si aprendo unas cosillas... Y sobre lo que me comentas del ping a broadcast, pues ahora dudo si hice un ping -b o directamente use el nmap dentro de un rango. Bueno, ya te iré preguntando, que siempre está bien aprender algo . Gracias de nuevo |
|
|
|
|
En línea
|
|
|
|
ediskrad
Desconectado
Mensajes: 35
Tayler tu primero!
|
Mmm interesante lo de los Evil Twin
|
|
|
|
|
En línea
|
|
|
|
|
TRICKY
|
Que tal. Bueno, de nada por la info; la info es libre y hay que compartirla! De todos modos hay una edicion de la revista (i)nsecurity-magazine que te puede interesar. Es la numero 14. Es una buena revista.. aqui te dejo un link para que le eches un vistazo si quieres ( hope u understand English! ): http://www.scribd.com/doc/2347429/Insecure-Mag-14Ahora... hmmm.. mejor te la busque por inet ( Google ) asi: inurl:insecure-mag filetype:pdf y voila! el tercer link contiene todas las descargas de las revistas, entre ellas la numero 14 :___). Es este el link en cuestion: http://www.yoire.com/downloads/insecure_magazine.zip/info/INSECURE-Mag-14.pdfPara descargar cualquiera de ellas pues presionas en uno de los links en la izquierda, y despues sobre la ventana centrada posa el raton sobre la parte izquierda superior de la misma, y dale al icono para guardarla. Ten en cuenta que el Client Isolation es a a nivel de Subnets.. O sea, supuestamente los clientes de una misma Subnet no se deben de ver.. Nada es perfecto no? Saludos. /**** MODIFIKO ****/ Asimismo te las puedes bajar presionando en el mismo icono pero en los de la parte derecha de la pantalla los cuales correspondan a la revista deseada. /**** MODIFIKO2 ****/ Bueno, aqui te paso la 19: http://www.net-security.org/dl/insecure/INSECURE-Mag-19.pdfY aqui la 20: http://www.net-security.org/dl/insecure/INSECURE-Mag-20.pdf /**** MODIFIKO3 ****/ Bueno, incluso yendo un poco mas abajo en la misma page, puedes encontrar ..mas cosas interesantes. :__________). |
|
|
|
« Última modificación: 26 Mayo 2009, 02:22 por averno »
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
ediskrad
Desconectado
Mensajes: 35
Tayler tu primero!
|
Tomo nota, a ver si desde casa le doy un vistacillo. Muchas gracias de nuevo... aunque has cometido un error xD, cuando tenga dudas ya se a quien intentar buscar. Nah, muchas gracias de nuevo; la información es gratis, pero por desgracia a veces eso de compartir lo gratis no se estila.
|
|
|
|
|
En línea
|
|
|
|
|
 |
