No entendí exactamente la pregunta, no se en que punto esta el gateway que suplantas, ¿es la salida hacia internet o un punto de la red?
Yo quiero pensar que es el router que me da salida a otras-subredes (aun no salgo a internet ahi).
Si el AP funciona como router (el gateway de los clientes es la ip del AP) a mi no me deja asociarme a ese AP con la mac del propio AP.
No creo que el AP funcione como router, aunque era mi primera sospecha (y esque como se conecta con cable ethernet, me hacia sospechar), pero yo puedo tener la IP que el server de DHCP me asigno en cualquier AP donde me asocie.
Si el AP funciona como puente y solo dirige hacia otro gateway-router y me pongo la mac e ip del router, entonces se empieza a armar un chocho de la leche al estar las dos Mac activas y el resultado es denegacion de servicio.
Si snifeas la conexíón,, probablemente verás como tu recibes paquetes que debian ir para el GW, al menos eso a mi me pasaba,
Haciendo pruebas en mi minired:
Si pones el filtardo MAC en el AP ya no ocurre nada, no se asocia y punto. Lo mismo con el uso de certificados en el AP.
Hay muchos AP y sería un grann problema configurarlos 1xq, a menos que sea posible re-configurar todos remotamente (que es muy probable que asi sea..).
Si el AP esta conectado a un switch que tiene seguridad a nivel de puertos, la mac del gateway ya solo puede provenir de un puerto físico y si viene de otro lado la rechaza. No hay ni suplantacion ni denegacion. (router-switch-AP)
Si, ahi puede estar el problema.. aunque la topologia seria mas..
router - switch - switch - switch - AP1,2,3,4,5,6,7,8
\ switch - switch - AP9,10,11,12,13,14,15,16,17
\ - AP18,19,20,21,22,23,24,25,26,27,28,29
jajaja, y hay mas.. eso solo es un ejemplo, espero se puedan configurar los switches remotamente tambien... (es una red grande.. ocupa 10.X.48.0/21)
Con IPsec, no hay suplantación pero tengo como resultado una denegacion de servicio
son todos CISCO aca
Si pongo el AP a mi maquina con ipcop+snort he intento suplantacion del gateway esto salta con Attempted ARP cache overwrite attack
(router-ipcop-AP) o sea que si hay algun IDS tiene que saltar.
y una que ves que lo detectas que haces? jaja no puedes banear la MAC
Si el DHCP tiene IPs reservadas, cojo pares de MAC e ip, hago el servidor DHCP y reservo esos pares de ip-MAC para que al suplantar el DHCP no de conflicto. Pero desde mi AP no pasan los paquetes y no da IP a los clientes aunque el otro DHCP este deshabilitado.
segun tengo entendido el dhcp no tiene IPs reservadas mas que las que ya se estan usando (como la del GW, y las primeras 14 que son cosas que solo tienen SSH, quiensabe que sean, pero siempre estan prendidas)
Si hago una configuración de red algo mas compleja (meto un switch y otro router) se ven afectados los clientes del AP pero al resto de la red no le ocurre nada.
Y si de hecho no probe si me llegaban los paquetes de tooooooooda la red o solo del AP.. puede ser que sea asi.
Muchas gracias
creo que ya tengo masomenos idea de que fue lo que pasó.. porque cuando me asocie y se cayó la red de todos los que estaban al rededor me saqué de onda.. jaja
Saludos!!
Mostrar Mensajes
