Seguridad: Spoofing. Capítulo Segundo -> MAC Spoofing
- febrero 2nd, 2010
- Publicado en Artículos . Internet . Programas . Seguridad . Windows
- Por Theliel
- Publicar un comentario
ATENCION: Los ejemplos que se van a mostrar y “tutoriales” tan solo tienen carácter educativo. En ningún aspecto comparto filosofías de invasión a la intimidad, ataques contra un sistema informático o cuestiones similares. En la medida que sea posible siempre se usarán ejemplos y formas que puedan ser usados por cualquier persona, de forma que pueda verificar los contenidos escritos. No obstante, por motivos más que obvios, materiales como contraseñas, nombres de usuarios o de hosts, serán omitidos o modificado en las capturas de pantallas realizadas (o las lineas escritas). Es decir, los ejemplos serán completamente reales, los datos mostrados a vosotros necesarios para poder pertrechar estos ejemplos no siempre lo serán (Sí lo serán los resultados). Para que esto conste de forma clara, todo material sensible modificado o falso estará resaltado en ROJO. Por motivos de seguridad, todo el material que sea expuesto aquí (exceptuando software propietario o libre, citaciones expresas o código de terceros) tanto texto, imágenes y código son propiedad del autor y está completamente prohibido su reproducción completa o parcial en otros lugares, espero que se comprenda.
MAC Spoofing
Mientras que podemos decir que la IP es la dirección de nuestros dispositivos y nodos de red, esto tan solo es cierto a partir del nivel 3 del modelo OSI (Nivel de Red). Por debajo del nivel 3 (el Nivel 2 o Nivel de Enlace de datos y Nivel 1 o Nivel físico), tan solo se entiende de direcciones MAC. La dirección MAC es un ID compuesto por 6 octetos que es grabado a cada dispositivo de red en fábrica. Así, los 3 primeros octetos son asignados a cada empresa (las empresas deben de comprar su ID), y los siguientes 5 octetos son administrados por la empresa como ella quiera, normalmente según modelos y otros. No obstante, en el primer octeto (el más significativo) queda reservado sus dos últimos bits. Si el bit 7 es un ‘1’ la MAC establecida no pertecene a nadie, usada para asignación manual y ‘0’ si pertenece a una empresa (o aun está disponible para comprarla para ser asignada). Si el bit 8 del primer octeto es un 1, la direccin MAC pertenecerá a una dirección Multicast (Mismo grupo de direcciones, para poder enviar datos simultaneos a varios clientes), mientras que si es ‘0’ la dirección será Unicast, es decir, individual.
Sabiendo esto, hay que comprender la importancia de una dirección MAC. Dependiendo del ámbito en el que estemos, tendrá una importancia mayor o menor. Si nos encontramos en una red Local ethernet su importancia es mayor incluso a la IP, dado que incluso la IP de cada dispositivo podemos decir que está “asociada” a cada MAC (luego veremos esto en detalle). En cambio, por encima de nuestra red local su importancia puede ser mucho menor. Por ejemplo, para nuestro ISP ADSL la MAC de nuestro router no es importante, dado que la IP que nos asigna nuestro proveedor no está basada en MAC alguna, sino que la IP se asigna mediante protocolo PPPoE (usuario y contraseña) y la conexión es directa a nuestra casa. En cambio en conexiones cables sí la MAC es importante, dado que es esta la que suele reconocer el proveedor por cable para asignar incluso la velocidad de conexion.
¿Cual es el sentido pues de MAC Spoofing? El mismo que en IP Spoofing básicamente:
- Suplantación de identidad
- Acceso a servicios no contratados
- Evasión de filtros MAC
- Anonimato
- Envenenamiento ARP
Hay que tener en cuenta que las direcciones MAC suelen actuar a un nivel más básico que IP, esto puede ser bueno o malo según se mire. Para poder entender la importancia de estas direcciones, hay que entender como funcionan o por qué. ¿Como sabe un Router o un Switch a que destino enviar un paquete? La respuesta que se pueda esperar es la IP de dicho cliente claro, pero esto no soluciona el problema. Para que el paquete se dirija a una IP concreta, esa IP debe de estar asociada de alguna manera a un medio físico, un ID único… y esta es la MAC. Dado que la MAC en teoría es única, los dispositivos de red guardan tablas de equivalencias entre estas IPs y sus respectivas MACs. Si un paquete llega a un Switch, el Switch mirará en su tabla que puerto ethernet (en redes ethernet) corresponde a la MAC destino, y será por dicho puerto o interfaz por donde envíe el paquete. Se podría pensar que la IP por tanto podría suprimirse, pero nada mas lejos!! al igual que la MAC es completamente necesaria. Cuando un dispositivo se conecta a un Switch pro ejemplo, lo único que posee este es una MAC. El Switch registra esta MAC en su tabla y de este modo conocerá en que puerto está conectado. A partir de este momento se realiza la asignación de IPs y bueno… esto se comprenderá mejor cuando se explique el envenenamiento ARP (ARP es un protocolo para asociar IPs a MACs, por así decirlo).
Por tanto, al igual que con IP Spoofing, el empleo de MAC Spoofing puede ser usado para la suplantación de identidad. Si la dirección MAC es única a cada dispositivo, podemos suponer que esta virtud puede ser usada en multitud de sistemas para mejorar la seguridad de estos. Uno de los usos más extendido de esto es la misma premisa que con IP Spoofing. Si podemos ocultar nuestra MAC podemos ocultar un ID que es único para nuestro adaptador. También podemos cambiarlo por otro que pertenezca a un cliente legítimo para hacernos pasar como si fuésemos ellos mismos. Un ejemplo extendido a esto, cuando se desea engañar a un router que esté asignando direcciones IPs de forma estática dependiendo de su dirección MAC. Dicha IP concreta tan solo es posible obtenerla con una MAC concreta, y con dicha IP concreta y MAC concreta podremos simular ser un cliente quizás legítimo en la red.
Veamos un ejemplo de MAC Spoofing para obtener una IP que no podríamos obtener de forma legítima:
La red está configurada para asignar IPs de forma dinámica por medio de DHCP dentro del rango 192.168.2.100-192.168.2.150. Por otro lado la red está configurada para que el rango 192.168.2.2-192.168.2.20 tenga acceso tanto al router como a otras tareas de administración. Por seguridad, dicho rango tan solo es asignado de forma estática por el router según la MAC del cliente. Aun cuando se intentase una asignación IP manual dentro de dicho rango, si la MAC no pertenece a dicha IP, el router no le concederá acceso a la red. A través de MAC Spoofing modificaremos nuestra MAC para que coincida por la de un cliente válida.
Fase 1: Conexión estandar al router de un cliente cualquiera:
Anarchy:/home/theliel# nmap -n -sP 192.168.2.1-255
Starting Nmap 5.21 ( http://nmap.org ) at 2010-01-30 23:18 CET
Host 192.168.2.1 is up (0.00057s latency).
MAC Address: 00:25:9C:11:22:33 (Cisco)
Host 192.168.2.2 is up (0.00055s latency).
MAC Address: 00:24:8C:11:22:33 (Asustek Computer)
Host 192.168.2.3 is up (0.00016s latency).
MAC Address: 00:24:8C:22:33:44 (Asustek Computer)
Host 192.168.2.8 is up (0.0092s latency).
MAC Address: 00:1C:BF:11:22:33 (Intel Corporate)
Host 192.168.2.13 is up (0.00039s latency).
MAC Address: 00:1D:60:33:44:55 (Asustek Computer)
Host 192.168.2.131 is up.
Nmap done: 255 IP addresses (6 hosts up) scanned in 3.94 seconds
Con el escaner anterior tendríamos listados todos los host conectados, así como la dirección MAC de cada uno de ellos. Para el último host, no se muestra su MAC dado que es el “atacante” que ha realizado el escaner. Como se puede obsevar tenemos host pertenecientes a la red “segura” y la IP del atacante asignada por DHCP. Por otro lado los datos de red del atacante:
Anarchy:/home/theliel# ifconfig
eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55
inet addr:192.168.2.131 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fefe:567d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4323 errors:0 dropped:0 overruns:0 frame:0
TX packets:5107 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5075469 (4.8 MiB) TX bytes:433030 (422.8 KiB)
C:\Users\Theliel>ipconfig /all
Configuración IP de Windows
Adaptador de Ethernet Local Area Connection:
Sufijo DNS específico para la conexión. . :
Descripción . . . . . . . . . . . . . . . : Marvell Yukon PCI-E Gigabit Ethernet Controller
Dirección física. . . . . . . . . . . . . : 00:11:22:33:44:55
DHCP habilitado . . . . . . . . . . . . . : sí
Configuración automática habilitada . . . : sí
Dirección IPv4. . . . . . . . . . . . . . : 192.168.2.131(Preferido)
Máscara de subred . . . . . . . . . . . . : 255.255.255.0
Fase 2: MAC Spoofing
Con los datos de los hots anteriores, podemos realizar el cambio de MAC de una forma muy simple por otra que corresponda a un host que pertenezca a la sección segura. Por razones evidentes, lo ideal es realizar el cambio en un momento en el que el host a sustituir no esté conectado en dicho momento, sino produciría un conflicto entre los dos hots. En este caso vamos a hacernos con el host 192.168.2.13.
Anarchy:/home/theliel# ifconfig eth0 hw ether 00:1D:60:33:44:55
Anarchy:/home/theliel# ifconfig
eth0 Link encap:Ethernet HWaddr 00:1D:60:33:44:55
inet addr:192.168.2.131 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fefe:567d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4466 errors:0 dropped:0 overruns:0 frame:0
TX packets:5197 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5091981 (4.8 MiB) TX bytes:445543 (435.1 KiB)
Adminsitrador Dispositivos -> Adaptador de red -> Propiedades
Fase 3: Renovación IP por DHCP.
Dado que la IP ha sido asignada previamente por DHCP, es necesario renovar la IP para que el router reasigne la IP de la MAC falseada:
Anarchy:/home/theliel# dhclient
Internet Systems Consortium DHCP Client V3.1.3
Copyright 2004-2009 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/eth0/00:1D:60:33:44:55
Sending on LPF/eth0/00:1D:60:33:44:55
Sending on Socket/fallback
DHCPREQUEST on eth0 to 255.255.255.255 port 67
DHCPNAK from 192.168.2.1
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 4
DHCPOFFER from 192.168.2.1
DHCPREQUEST on eth0 to 255.255.255.255 port 67
DHCPACK from 192.168.2.1
bound to 192.168.2.13 — renewal in 2147483648 seconds.
C:\Users\Theliel>ipconfig /renew
Configuración IP de Windows
Adaptador de Ethernet Local Area Connection:
Sufijo DNS específico para la conexión. . :
Dirección IPv4. . . . . . . . . . . . . . : 192.168.2.13
Máscara de subred . . . . . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada . . . . . : 192.168.2.1
Esto que parece realmente muy sencillo, puede resultar tremendamente útil para un atacante en multitud de escenarios. Por ejemplo cuando se desea evadir un filtrado MAC (típico en las conexiones WIFI) para poder acceder a la red. Numerosos AP de bares, particulares, redes públicas… poseen filtrados MAC para permitir o denegar la conexión a sus redes. Dado que no estamos conectados físicamente a la red no podemos hacer uso de escaneos de puertos y otros sistemas, pero en cambio podemos usar utilidades para poder escanerlas, como por ejemplo Airodump-ng. Una vez optenidas MAC válidas que pueden conectarse al AP, podemos proceder a modificar la nuestra tal y como se ha explicado con anterioridad:
CH 13 ][ Elapsed: 30 sec ][ 2010-01-31 01:57 ]
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:25:9C:11:22:33 – -70 120 57 0 13 54e WPA2 CCMP PSK Theliel
BSSID STATION PWR Rate Lost Packets Probes
00:25:9C:11:22:33- 00:1C:BF:11:22:33 – 32 54-0 7 245 Anarchy
(not associated) -00:1C:BF:22:33:44 - 7 11-0 5 23
Anarchy:/home/theliel#airodump-ng -c 13 -w dump wlan0
Dentro también de las aplicaciones prácticas de ello podría incluirse la piratería de conexiones a Internet instaladas por algunos ISP de cable. Esta tecnología suele usar un cable de fibra óptica que es común a una zona de abonados. La conexión a estos ISP es simple, tan solo hace falta un módem suministrado por ellos y un terminal que conectar a dicho módem. Luego la pregunta es inmediata. Si el cable es común a todos los abonados y no se requiere de ningún tipo de identificación ¿Cómo conoce/diferencia el ISP al cliente conectado o que servicios tiene contratado? Por la MAC de dicho módem, ni más ni menos. Si se modificase la MAC de nuestro módem por una que tenga contratada 10MB, en teoría, a efectos prácticos nuestro ISP nos daría esos 10MB. El problema evidentemente es modificar la MAC de dichos Módem, los cuales la mayoría de las veces es necesario realizarlo mediante una modificación hardware.
Por último, la técnica de MAC Spoofing juega un papel fundamental en los ataques de envenenamientos ARP, pero esto será tratado en otro artículo.
Hemos hablado de aplicaciones prácticas, pero ¿Cómo podemos evitar este tipo de ataques a nuestros sistemas? Al igual que dijimos en IP Spoofing, usar siempre que sea posible protocolos seguros como IPSec en los que sea necesario tunelizar todo el tráfico dentro de una misma red. Por otro lado separar físicamente las redes que serán usadas para propósitos diferentes, y si se requiere, colocar un firewall en la puerta de entrada a las partes sensibles de nuestra red. Por otro lado, si la estructura de nuestra red es relativamente estable, el uso de tablas MAC estáticas asignadas específicamente a cada uno de los puertos de nuestro Switch.
En cambio proteger nuestra red contra MAC Spoofing es más complicado, por ello la única seguridad que podemos aplicar es en primer lugar no permitir conexiones wifi cuando sea posible, y si se deben de usar, usar siempre un nivel de encriptación mínimo de WPA2-PSK, siendo prácticamente obligado el uso de WPA2 más algún protocolo EAP, trabajando así con servidores Radius y certificados digitales. Pero desde luego nunca presuponer que un filtrado MAC garantizará absolutamente nada.
Hola, muy completo tu articulo, pero sucede que se me presenta un problema cuando escaneo la red con nmap -n -sP , ya que la mac que me da para la serie de ip es la misma en todas:
Hola, muy completo tu articulo, pero sucede que se me presenta un problema cuando escaneo la red con nmap -n -sP , ya que la mac que me da para la serie de ip es la misma en todas: 00:30:B8:CC:58:A0 (RiverDelta Networks), me podrias explicar por que?
No me das muchos datos, así que vamos por partes:
hace ya tiempo que -sP es obsoleto (la sintaxis), desde hace un tiempo se usa -sn,aunque el escaner es exactamente el mismo. Personalmente creo qeu se cambió para precisamente no confundir con un escaner ping.
Aunque el mismo nmap dice que se trata de descubrimiento de equipos por ping, esto NO ES CIERTO. -sn (o -sP) en realidad es un sistema para descubrimiento de host basados en ARP, no en paquetes ICMP ping. Esto es muy importante, pq no tiene absolutamente nada que ver una cosa con la otra. -sn lo que realiza es una petición ARP de todos los hosts especificados. Por ejemplo
nmap -sn 192.168.0.1/24
Lo que realizará será enviar una petición ARP a cada una de las 256 direcciones, desde la 192.168.0.0-192.168.0.255. Si sabes que es ARP perfecto, sino el capítulo tercero explicaba perfectamente que es.
Estas peticiones ARP se envían a la dirección MAC de broadcast, es decir ff:ff:ff:ff:ff:ff:
mensaje ARP: Quien es la IP 192.168.0.x? -> enviar a todos los equipos de la red, contestar a equipo CarlGarcia (con IP tal y MAC tal). Si por ejemplo el host con ip 0.5 está en la red conectado y en linea, cuando reciba la petición ARP para la IP 0.5 responderá con una respuesta ARP al host que realizó la petición, con lo que el host que realizó el escaner tendrá respuesta por cada uno de los host que RESPONDIERON.
Ahora bien. Que puede estar pasando? Dos puntos interesantes:
-los mensajes ARP se envían a toda la red, son visibles para TODOS
-Hoy por hoy todos tenemso Switchs, con lo que si un hosts se encuentra disponible (a menos que esté configurado para no responder a paquetes ARP, lo cual es muy pco probable) contestará de manera fial.
Si unimos estaos dos premisas yo sacaría en claro lo siguiente:
El router.
Una de tres:
1º. No había en dicho momento ningún host conectado a la red y la caché ARP del router contestó a cada una de las peticiones como si fuese el mismo todos los hosts. No conozco ningún router que se comporte así, pero supongo que podría ser configurado para tal fin. No creo que sea esta de todos modos la respuesta correcta
2º. Todo el tráfico de la red local está siento “rutado”, es decir, pasado por el router. En teoría, en las redes de hoy en día tenemos Switchs, que por decirlo de algún modo (aun no tengo terminado el capítulo 4º) conectan directamente los dos equipos que tienen que entablar la comunicacion. La teoría dice que a una peticion ARP, la respuesta irá directamente al host que realizó la petición, sin pasar por el router, directamente gracias al Switch. Si no es el caso primero, lo que nos quedaría es que todo el tráfico estaría entrando en el router, lo que me dice que sería algún Switch con prestaciones avanzadas que permitiese la separación de cada uno de sus puertos.
Este ultimo sistema tan solo puede ser util en grandes redes en las que no se permiten además la comunicación entre dos hosts, así cada host está completamente aislados de la red: Host aislados, redes grandes, dispositivos relativamente avanzados… todo ello me haría pensar en una red pública tipo… ¿una red de alguna Universidad tal vez? Quizás una biblioteca… cosas así, donde se desea dar acceso a muchas personas pero eliminando la red local.
3º. Y por último, que el propio Switch tuviese alguna protección para el envenenamiento ARP y que a partir de X peticiones ARP él mismo las desechase y entregase simplemente una MAC cualquiera (Suya, del router…), aunque no es algo normal, recordemos
De las tres opciones yo me quedaría con la 2º. En realidad no hay que ser tan estricto y decir que no hay comunicación entre dos equipos, es simplemente lógica. Si todo pasa por el router, la sobrecarga de este sería brutal, pensemos por ejemplo en que 10 host estén transfiriendo archivos de unos a otros como locos… TODO pasaría por el router!! Yo apuesto por la segunda
Se me está ocurriendo que podría ser tb una red bastante más amplia, y que estés intentando escanear un segmento de tu ISP, a fin de cuentas muchos ISP en todo el mundo usan redes “LAN” entre todos sus clientes para proporcionar acceso a internet. Es decir… cientos miles de clientes conectados todos a una red, y los equipos del ISP son los que una vez en ellos multiplexan y rutean los datos de todos los clientes.. quizás alguna cablera o algun ISP que brinde servicios a través de redes inalámbricas.
Pero aun así, la explicación sería la mismal, el punto segundo.
disculpa mi ignorancia, pero yo hice:
hp:/home/fernando# nmap -sP 192.168.1.*
Starting Nmap 5.00 ( http://nmap.org ) at 2011-01-05 21:44 ART
Host 192.168.1.1 is up (0.00074s latency).
MAC Address: 00:23:CD:14:42:7E (Tp-link Technologies CO.)
Host 192.168.1.2 is up (0.029s latency).
MAC Address: 00:E0:4D:41:7A:82 (Internet Initiative Japan)
Host 192.168.1.4 is up (0.063s latency).
MAC Address: 00:1F:C6:38:93:54 (Asustek Computer)
Host 192.168.1.10 is up (0.056s latency).
MAC Address: 48:5B:39:0B:55:6D (Unknown)
Host 192.168.1.100 is up (0.081s latency).
MAC Address: 00:E0:4D:8D:6B:C6 (Internet Initiative Japan)
Host 192.168.1.105 is up.
Host 192.168.1.111 is up (0.085s latency).
MAC Address: 00:24:E8:BB:B5:0B (Dell)
Nmap done: 256 IP addresses (7 hosts up) scanned in 11.34 seconds
hp:/home/fernando#
veras, el tema es que en mi red hay dos host activos, una la 192.168.1.104(mi maquina con debian squeeze/windows7) y la otra 192.168.1.1(un router TD-W8901G)
he mirado el trafico del la red y esas ip (fantasmas) tienen como destino la 192.168.1.255,
he limpiado la cache arp con “nmap -d ipfantasma” y vuelve devuelta.
lo raro es que inicio el router y enchufo el cable de red a la notebook, con la notebook apagada, no hay actividad, enciendo todo y comienza la actividad, sin haber proceso alguno trabajando, la misma actividad sigue si apago la notebook, (la actividad de link en el puerto donde esta la notebook, no la actividad de internet).
Antes no era así, no se que puede ser, si es el router que se me volvió está medio para atrás, o me están atacando.
Para terminar, yo tengo otra maquina mas(ahora apagada) como servidor(solo Debian también, con apache,ftp,dos bases de datos) el fenómeno lo no noté hace un mes mas o menos, al principio pensé que era unas descargas pesadas que me estaban haciendo desde el servidor ftp, pero al resetear el moden pierde la ip, y la actividad seguía.
he publicado algo de lo que he sacado con el wireshark en http://www.esdebian.org/foro/45047/intrusos-red, si te interesa por favor decime, no tengo mucha idea para donde agarrar.
hay algo mas, el router tiene una opción MAC Spoofing? puede servir para solucionar este problema, no que realmente hace? dice que da una mac publica, pero el router no tiene una por defecto?. Nota: lo tengo configurado como PPPoE LLC.
Es evidente que algo sucede. Si dichas IPs están activas es que algo o alguien hay detrás de ellas. Se me ocurren varioas opciones:
La primera opción que me viene a la cabeza es simplemente que están robándote la conexión WIFI, solucionar esto es tan simple como asegurarte que usas una protección firme, WPA2-PSK y una contraseña decente, una frase mejor que una palabra, del tipo: “tengo ganas de irme a comer a casa”. Si estás en uan zona “interesante” y con WIFI sin seguridad o una seguridad pobre, es muy común configurar routers que roban la conexion para alimentar a otros equipos.
La segunda opción es que el router por el motivo que sea tenga la caché ARP mal. Dices que has limpiado el caché ARP del equipo, pero en realidad no el del router. En teoría, el escaner de ping que hace nmap lo realiza por ARP, lo cual significa que en teoría las respuestas tendrían q darlas los host en concreto y no el router. Lo cierto es que algunos routers pueden estar configurados para responder ellos, aun cuando la “pregunta” no vaya hacia ellos. LA caché arp de los routers suele ser restablecida con un reinicio… aunque solo es un “suele”.
La tercera opción y más graciosa sería en realidad rastrear. Lo ideal es que tu router permitiese acceso por telnet o SSH y ejecutase busybox o similar para poder tener herramientas a disposicion. Si fuese posible, se podría ver una a una todas las conexiones entradas salientes, la tabla de rutas, la tabla ARP, las direccionese asignadas por DHCP, limpiarlas… todo.
Mencionas que el tráfico que tienen dichas IPs lo has comprobado y es todo a la IP 1.255, es normal. Casi con toda seguridad tu router lo que dispones es de un Switch interno, y no un hub, lo que quiere decir qeu tu PC tan solo puede ver el tráfico entrante/saliente de tu PC Y aquel tráfico que va destinado a broadcast y multicast. La ip 1.255 es la direccion de broadcat de tu red, y es por ello por lo qeu puedes ver dichos paquetes, lo cual no significa que sea el único tráfico q dichos equipos tienen. Para poder ver algo más, te insto que leas el último capítulo sobre sniffing, q intentaré publicar entre hoy y mañana (lo tengo ya terminado).
De todos modos abogo por un robo WIFI como opción más probable. Si quieres algo más, por aquí ando.
Un saludo.
antes que nada gracias che – voy a leer con mas cuidado lo que me recomendaste.
Lo único que yo no entiendo es como puede ser que con:
hp:/home/fernando# nmap -n -sP 192.168.1.1-255
Starting Nmap 5.00 ( http://nmap.org ) at 2011-01-06 22:54 ART
Host 192.168.1.1 is up (0.00047s latency).
MAC Address: 00:23:CD:14:42:7E (Tp-link Technologies CO.)
Host 192.168.1.2 is up (0.030s latency).
MAC Address: 00:16:EC:68:CF:3B (Elitegroup Computer Systems Co.)
Host 192.168.1.3 is up (0.047s latency).
MAC Address: 00:25:D3:1B:03:CA (AzureWave Technologies)
Host 192.168.1.4 is up (0.063s latency).
MAC Address: 00:E0:4D:5C:90:05 (Internet Initiative Japan)
Host 192.168.1.100 is up (0.14s latency).
MAC Address: 00:E0:4D:8D:6B:C6 (Internet Initiative Japan)
Host 192.168.1.104 is up (0.00021s latency).
MAC Address: 00:08:54:46:7B:60 (Netronix)
Host 192.168.1.105 is up.
Host 192.168.1.113 is up (0.029s latency).
MAC Address: 00:E0:4D:31:5B:0B (Internet Initiative Japan)
Nmap done: 255 IP addresses (8 hosts up) scanned in 5.24 seconds
hp:/home/fernando#
aparezcan dentro de mi red ip que no existen(con su mac).
Las ip reales son 192.168.1.1(router)-192.168.1.104-192.168.1.105- con el wifi desconectado o desactivado.
ese es mi problema que descartando el tema de maquinas enganchadas por wifi o algún otro medio físico, virus o procesos raros (en linux estoy seguro de eso), existan estas ips y que tenga actividad, esa actividad es bastante particular, por los leds de link de las dos bocas del router prenden y apagan juntas y a una frecuencia particular sin que se note actividad en el led de internet,(cuando tengo trafico “real” los leds van mas rápidos y se prende el que le corresponde a la boca que tiene actividad junto con el de internet).
Con el wireshark, he mirado el trafico de algunas de esas ips fantasmas y se puede ver el nombre de las maquinas que pertenecen,
He leido por ahi que el router mal configurado puede funcionar como un proxy arp y tomar mac de otras maquinas,(puede ser un bolazo total pero a estas alturas si aparece un marciano virtual me es igual), por eso al final te decia algo sobre la configuración del router, tiene para configurar una opción que le llama “mac spoofing”, el manual no me dice mucho, solo que le da mac al router (no entiendo eso todavia, creia que todos los dispositivos de red tienen mac)
lo que yo quiero descartar es si es un ataque o es el router que se arruinó por alguna razón, aunque es nuevo,
estoy viendo alguna forma de que en la lan valide las maquinas por mac, como tiene para la red wifi, pero no tiene nada eso, salvo el filtering por mac, que es una porquería el de ese router.
lo del ssh o telnet no encontré referencias en el manual, pero después voy a probar a ver que sale, capaz que meta otro router en lugar de ese a ver si cambia la cosa.
si tenés alguna idea salvadora, algo de lo que pueda hacer para tener alguna certeza de que es lo que pasa, si necesitas mas información mas especifica, decime por favor.
Buenas de nuevo.
VAmos a ver, el tema de MAC Spoofing es simplemente una opcion q permite modificar por software la MAC del router. Efectivamente la MAC es grabada en fábrica a todos los dispositivos de red, incluidos routers. No obtante, es muy común tener una opción para alterarla. ¿Por qué? Sobre todo por las cableras. Generalmente, tecnologías como ADSL, las autentificaciones a la red se hacen por medio de protocolos como PPPoE que requieren un nombre de usuario y contraseña, además de que cada linea DSL es única, va desde tu casa a la centralita. Pero las cableras no funcionan así!! el mismo cable de fibra lo comporten decenas o centenas/miles de usuarios que se encuentran dentro del mismo bucle. Como sabe el ISP entonces la velocidad de conexion de cada uno y los servicios contratados? por la MAC del modem generalmente. El problema es que imagínate que cambias el hardware de ellos, otro router posiblemente no te funcionaría, pq la línea está asociada a una MAC concreta. Aquí es donde la opción de tu router llamada Mac Spoofing (otros la llaman clonar MAC) juega un papel crucial.
Por mucho que el router esté cascado, evidentemente el router tiene que sacar las IPs de algún sitio. En realidad no debería de ser muy cimplicado, pq no hay muchos sitios por los cuales el router puede asignar IPs a equipos, y menos si estos tienen nombre!!:
-WIFI: Cualquier cliente WIFI tendrá uan IP asociada. Para asegurarte que este no es el problema, tan fácil como deshabilitar wifi, reiniciar el router y comprobarlo de nuevo
-Conexiones Ethernet: Esto es aun mas facil de comprobar, tan solo hay que mirar cuantos equipos están conectados por cable
-Interfaces Internas: Muchos routers tienen interfaces internas que no salen al exterior, pero que se usan para ciertos menesteres. Es cierto qeu lo común son las interfaces de loopback y alguna más, pero siempre es bueno ver cuales son las q tiene el router, es aquí donde el acceso por telnet o SSH sería muy util, un simple “ifconfig” nos daría todo lo necesario. A lo mejor alguna función IPv6 está reservando o generando para uso externo algunas IPs,
-VPN: Otra posibilidad son las VPN. Si el router actua como servidor de servicios PPPT, L2PT, IPSec, OpenVPN… cualquier PC podría estar conectado a la red interna del router desde el exterior, dado que el router les asignaría una IP propia dentro de su red. Comprobar esto no debería de ser complicado, acceder al router y ver si posee cualquier función de VPN (redes privadas virtuales) habilitada
Como te digo, de todos modos se puede saber el tráfico exacto que están teniendo dichas IP, y con ello saber si realmente tienen acceso a la red o simplemente están inactivas. Para empezar, un escanar de puertos con nmap a esas IPs no estaría mal: “nmap IP” sería suficiente, o si quieres obtener mas información “nmap -A IP”. Con un listado de puertos abiertos te haces una idea perfectamente de que tipo de equipo es o si es real o no real.
Y si todo ello falla, como te digo se puede ser un poco más “malo” y usar Wireshark para sniffar no solo tu tráfico, sino el de toda la red ;), aunque ello sea usar métodos más… invasivos.
Hola, aterricé en tu blog a raíz de lo que comentas de que algunos ISP vinculan la conexión con la MAC del router…En mi caso concreto, no consigo conectar a internet con un nuevo router (“neutro”) conectado al antiguo router adsl y la única explicación que le encuentro es que sea por la MAC. Te agradecería si me pudieras explicar cómo saber la MAC de un router. Entiendo que la necesaría para hacer spoofing con mi proveedor Jazztel es la “ethernet”, pero al utilizar el comando “arp -a” me da la misma que figura en la web de administración del router como BSSID (la del wifi).
Muchas gracias, y perdona si se sale del post.
Bueno, sin darme más información, supongo que si aplicamos la navaja de Ockham tu problema no debería de ser la clonación de MAC, sino una mala configuración de tu router ADSL.
Si bien has dicho, estás conectando un router a una puerta de enlace residencial, presupongo que con la intención de usar como router el segundo, y no el primero. No obstante para poder realizar dicha conexión, la puerta de enlace residencial (el router/modem ADSL) debe de configurarse para usar tan solo el modem de este, opción que no comportan la mayoría de routers/modem ADSL. Esta opción suele llamarse modo bridge (puente) en estas puertas de enlace o PPP Passthrough (aunque esto último no es exactamente igual). En otros modelos podemos encontrar opciones para deshabilitar NAT y el firewall interno, lo cual en parte realizaría la misma función que el modo “puente” antes dicho.
De lo contrario, si se conecta un segundo router sin esto, los conflictos pueden ser enormes si no se configuran ambas redes correctamente. Sería necesario configurar ambos routers en redes diferentes, habilitar DMZ en el primer router para el segundo, etc etc.
Evidentemente cada modelo de conexión tiene sus pros y sus contras. En el primer modelo, el modem/router tan solo se usaría de modem, ni como punto de acceso WIFI ni para poder conectar otros equipos, pero en cambio todas las funciones serían llevadas a cabo por el segundo router, quien posiblemente tendría q configurarse como cliente PPPoE/PPPoA. El segundo esquema produce más dolores de cabeza, pero a cambio tb se gana la posibilidad de expandir de forma más eficaz la red, pudiendo dotar de conexión a cualquier equipo conectado al router 1 o al router 2.
Personalmente, para una red domésticas, abogo mucho más por el primer esquema, aunque el segundo bien configurado no debería de dar tampoco problemas. Para gusto colores
Edito: Si quieres algo más conciso, tendría que sber marca/modelo de ambos dispositivos, de la puerta de enlace residencial y del router
Hola de nuevo, muchas gracias por tu respuesta.
Efectivamente, el antiguo router (Comtrend HG-536+) lo puse en modo bridge para que funcionara como modem adsl exclusivamente. El nuevo router (Netgear WNDR3700) se encargaría del resto, configurándolo con PPPoE (usuario y contraseño). Hasta ahí perfecto, el problema viene cuando el asistente me dice que detectó mi IP como fija, al contestar que no es correcto, que es dinámica, me da como posible explicación que el ISP puede tener vinculada la MAC del antiguo router, que la solución es clonarla o contactar al ISP. He buscado en foros extranjeros y parece que el problema efectivamente es ese (cuando confunde la ip dinámica como estática). De forma manual tampoco conecta con internet.
He seguido el orden de conexión de cada aparato para que obtenga la ip pública y no confunda MACs, puse diferente ip a cada router…pero nada.
Por eso ya estoy con la duda de qué MAC del router antiguo he de poner, pues con el comando arp -a me da la misma que aparece en el router como BSSID (la MAC del wifi), cuando supongo que hay que poner la ethernet del router.
Gracias de nuevo
Saludos
Hasta donde yo se, Jazztel la IP fija la asigna solo previo pago, así que lo primero sería saber si tienes IP fija o dinámica. Si es dinámica no entiendo como el Netgear confunde esto.
Por otro lado, de nuevo hasta donde yo sé, Jazztel no hace uso de las MAC del equipo para nada, pero si ves que tienes problemas podrías intentarlo por supuesto.
Hay varias opciones.
El Comtrend que me dices creo que tiene la opción de hacerse cargo de toda la autentificación PPPoE y pasarla directamente al Netgear, teniendo q configurar este último tan solo como en obtener la IP de forma automática. Para ello (y hablo tan solo de memoria) sería suficiente con configurar el primero prácticamente tal como estaba, pero en la configuracion PPPoe habilitar PPP IP extension o PPP passthrough (puedes probar con uno o con otro). Ambos modos son parecidos, digamos que pppoe passthrough suele usarse cuando tenemos más de una IP publica comprada a nuestro ISP por la misma conexion, aunque el resultado en este caso sería el mismo. Evidentemente, tanto NAT como el firewall habría que dejarlo deshabilitado.
CLonar la MAC? No se si realmente será necesario, pero si lo es, la mejor forma de ver que MAC necesitas es accediendo por telnet al modem y hacer un ifconfig para listar todas las interfaces disponibles (creo que el comtrend posee BusyBox, con lo que podrías usar el comando citado). Una vez hecho, tan solo tienes que clonar en teoría la que esté asociada a la conexión WAN que tengas creada (posiblemente no será ni lo, ni ethX ni brx, ni wlx)
Wow, por fín consiguió conectar. Habilité la PPP IP extension y tampoco iba hasta que puse en el router nuevo como dns la ip del router antiguo. No caí en la cuenta ya que el manual decía que lo dejara todo en obtener automáticamente.
Por curiosidad, volví a probar en modo bridge (sin IP extension) con la nueva dns pero ahí en cambio no logré que funcionara. No sé si en terminos de rendimiento sería mejor que el router nuevo cargara con todo (PPoe) pero me doy más que satisfecho con la cobertura y potencia que me da este router.
De verdad que te agradezco mucho la ayuda prestada, ya estaba imaginando un pisapapeles de 100€
Saludos
Si es posible lo que dices, al usar PPP IP extension es el modem quien recibe directamente la IP púlica (junto a las DNS), NO el router. Sinceramente no caí en ello, puesto que siempre siempre tomo la precaución de especificar manualmente las DNS, jamás dejo que estas sean asignadas de manera automática por el ISP, precisamente por posibles herrores.
Dices que en modo bridge no lograste que funcionase? Es extraño, o es alguna opción del cliente pppoe del router (cosa que dudo) o a saber.
En cuanto a rendimiento se refiere en realidad ambos métodos son muy similares, solo comprobar de nuevo que con PPP IP extension, tanto NAT como el Firewall como WIFI estén deshabilitados para evitar posibles conflictos, y que posiblemente para un rendimiento óptimo habría que modificar el MTU también en el modem, no solo en el router. Por lo demás, la diferencia sería que en este modo el cliente PPPoE está siendo usado por el modem mientras que en el segundo modelo lo realiza el router.
Sí, desconecté el firewall, NAT y el QoS (el router nuevo lo lleva).
Gracias de nuevo.
Theliel, gracias.
He conseguido resolver el problema.
Resumen de lo que pasaba:
– al reconectarme, después de resetear el router para conseguir una ip publica nueva, en el navegador me redirigia a la página del router de otra persona. Empecé a observar que aparecían host activos en mi red que no debían estar (usando el comando nmap sP 192.168.1.*). Otros fenómenos en el cual podía ver el trafico (con wireshark) de estos host fantasmas y un parpadeo de las luces de link de las bocas activas del router, donde las maquinas conectadas no tenían procesos que generen trafico en la red.
Lo que hice:
– reemplazar ese router (tp-link TD-W8901G) por el “huawei mt882″ que da arnet al contratar el servicio (está preconfigurado con la características propias de ellos), y vi que todo funcionaba normalmente.
– volví a conectar el el tp-link, lo resetee con valores de fabrica y le actualice el firmware.
Cuando lo configuré, fije mal el “virtual circuit” (PVC), cuando me di cuenta lo deshabilité y le configuré el correcto. Seguía igual que antes.
Lo resetee con los valores default de nuevo, y lo configuré con los valores que correspondia, y se arregló
Posibles causas.
– Algún desbordamiento interno, todo esto empezó mas o menos después de una trasferencia de ficheros enormes por ftp y al abrirle el puerto 8080. Otros factores el calor, o algún golpe de tensión le produjo algún daño al soft del aparato, o bien todo junto, no sé.
Igualmente, el firmware de tp-link habría que pulirlo un poquito, estuve mirando un firmware alternativo (DD-WRT), pero no es soportado por los router tp-link.
Umm, no tiene sentido para mi, el router no creo que se invente de pronto direcciones MAC. Si, claro que es posible algún error en la NVRAM del dispositivo y q a golpe de reseteos quedase en condiciones, pero aun cuando tuviese un error por algún desbordamiento o DoS no explicaría de modo alguno otros Host. Date cuenta que no eran direcciones MAC con un patron dado, no se… yo abogo más por la opción de que alguien estuviese metiendo las narices en tu router (por así decirlo)
De todos modos, observa el comportamiento durante unos días y ya está, a ver que sucede, esperemos que no se den más problemas. Eso sí… es cierto también que en el mundo de la informática no hay nada que sea imposible, los famosos “fantasmitas” de los programadores (o así al menos los llamamos por aqui, los cuales son unas entidades que nadie conoce que hacen que sin ninguna explicación hacen que un programa compile o no compile, se ejecute correctamente o no, y que despuese de horas de seguimientos, depuraciones y otros de pronto, todo vuelve a funcionar correctamente. Creeme… esas cosas pasan.
hola, tengo un par de dudas si quizás me pudieras ayudar! No tengo mucho conocimiento, asi que..
1- si tengo dos maquinas virtuales en mi pc, a las dos les tengo que realizar el proceso de mac e ip Spoofing por separado? es decir, como estan en red, esta se configuración se comparte inclusive con mi PC?,
2- Tendria que realizar este proceso cada vez que enciendo mi PC? Es decir, la configuracion no queda guardada para cuando reinicie mi equipo¿????
3-Es basicamente parecida a la 2a, si quiero reestablecer mi Mac real lo tendre que hacer manualmente???
1º. Depende de la máquina virtual que uses. Por lo general el OS hospedado generalmente posee su propia NIC virtual, y si es así tendrá su propia MAC. Algunos software de virtualización sin embargo pueden hacer uso físico y directo a la propia NIC del sistema, con lo que la MAC sería la misma. Lo normla es el primer escenario, un NIC virtual con su propia MAC (cada OS hospedado, si son dos, las dos serán posiblemente diferentes)
2º. Depende del OS y de como quieras hacerlo. En Windows por ejemplo si está establecida en las propiedades del adaptador, mientras esté establecida quedará esa. En linux por otor lado se puede modificar tanto de forma temporal como “permanente”
3º. Si el proceso de cambio de MAC que has hecho es “permanente” tendrás que revertirlo manualmente, por ejemplo eliminando la asignación manual. Si el cambio se hizo directamente tipo “comando”, reiniciar es suficiente, aunque tb se puede de nuevo establecer manualmente a la que tenga por defecto