IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Introducció

Un tallafocs (o firewall en anglès, que originalment vol dir "mur ignífug"), és un element de maquinari o programari utilitzat en una xarxa d'equips informàtics per controlar les comunicacions, permetent-les o prohibint-les segons les polítiques de xarxa que hagi definit l'organització responsable de la xarxa. La ubicació habitual d'un tallafocs és el punt de connexió de la xarxa interna de l'organització amb la xarxa exterior, que normalment és Internet; d'aquesta manera es protegeix la xarxa interna d'intents d'accés no autoritzats des d'Internet, que puguin aprofitar vulnerabilitats dels sistemes de la xarxa interna.

NetFilter/IPtables

NAT

Pràctiques

RouterOS i Ettercap

RouterOS

Taules ARP Estàtiques

Per a començar a fer taules ARP estàtiques per a evitar enverinament, seguirem els següents passos realitzats amb un routerboard 750 de MikroTik amb la configuració reiniciada.

Aquests routers permeten realitzar la configuració per comandes o amb l'eina gràfica Winbox, en el nostre cas utilitzarem aquesta última.

$ sudo ifconfig ethx:1 192.168.88.2

Primer de tot, ens assignarem la IP 192.168.88.2, amb la qual cosa en acabat connectarem la nostra interfície eth ( on x és el número de la nostra interfície de xarxa ) a la interfície Ethernet 2 del routerboard.

$ ping 192.168.88.1

Amb aquest ping, comprovarem que tenim comunicació amb la porta d'enllaç del router i de passada farem que la taula ARP del router ens registri la nostra entrada.

Marcgrau-ARPEpas3.png

Un cop ens connectem a través del Winbox, anirem al menú IP > ARP per accedir al menú de la taula ARP.

Marcgrau-ARPEpas4.png

Un cop oberta la finestra de la taula ARP, fem doble clic a sobre de les interfícies.

Seguidament, premerem el botó "Make Static" de cada interfície.

En la finestra esquerra podem veure una interfície estàtica i a la dreta una interfície dinàmica.

En la taula, diferenciarem les interfícies dinàmiques de les estàtiques per la presència de la lletra "D" o per l'absència d'aquesta.

Per últim, si volem afegir noves entrades a la taula ARP, premerem el botó "+". Aquest tema el tractarem més endavant.

Marcgrau-ARPEpas5.png

Seguidament, anirem al menú "Interfaces" per a mostrar el menú de les "interfaces".

Marcgrau-ARPEpas6.png

Per a utilitzar les taules ARP estàtiques, tenim que fer doble clic a cada interfície de xarxa del nostre router i en l'apartat "ARP" li definim "reply-only" per a que només atengui les entrades que coincideixin amb les entrades de la taula ARP.

IMPORTANT: En el cas que realitzeu la configuració del router d'alguna manera que no sigui amb el Winbox, com ara des de interfície Web, no vos oblideu de tindre com a mínim una entrada en la taula ARP o no tindreu accés a aquest!

Backup

Configuració de taula ARP bàsica.

Fitxer del backup

Secció IP

  • ARP: Mostra la llista d'IP. La D vol dir dinàmic (s'han quedat pel protocol ARP). Si fiquem una IP i una MAC estàtica, podrem evitar i prevenir atacs del tipus ARP Spoofing.

Exemple.jpg

Secció Switch

Documentar: ToDo

ARP Spoofing

És un atac empleat en xarxes Ethernet que permet a un atacant interceptar trames d'una xarxa LAN.

Es tracta d'enviar missatges ARP falsos amb la finalitat d'associar la direcció MAC de l'atacant amb la direcció IP d'un altre usuari ( node ) de la xarxa.

L'atacant pot fer tres tipus d'atac:

  • Atac passiu: Les trames interceptades no són modificades i s'envien als corresponents receptors.
  • Atac actiu: Pot modificar les trames injectant dades.
  • Aturar el tràfic: Atac de denegació de servei ( DoS ) .

És necessari executar l'atac des d'una màquina de dins la xarxa Ethernet i les màquines que es poden atacar (2 mínim) han de pertànyer al mateix segment de xarxa.

Funcionament:

  • Enviant missatges AR falsos (fake frames).
  • S'envia un arp-reply fals associant la MAC de l'atacat a la IP de l'atacant. Els paquets s'envien a l'atacant en comptes de a l'atacat.
  • L'atacant pot escollir entre ser passiu (un cop llegides les trames les reenvia a l'atacat) o actiu (injectar o modificar dades abans de reenviar - Man in the Middle).
Andrescorazonarpspoofing.png
  • DoS atack (Deny of Service): S'assigna una IP no existent a la MAC de l'atacat o al seu gateway per defecte.

Possada en pràctica: ARP Spoofing

Vegeu també

Enllaços externs