mikrotik detecta mac + ip clonado ???

Publicado en 'Redes Inalámbricas' por martinduro, 14 Jul 2010.





  1. martinduro

    martinduro Miembro frecuente

    Registro:
    30 Set 2009
    Mensajes:
    97
    Likes:
    1




    hola a todos, quisiera indagar en este tema sobre seguridad del server,bueno veo q es facil clonar una mac + ip en caso la red este en security off, lo q quisiera saber si nuestro amigo server podria detectar si hay mas de 2 conexiones con la misma ip+mac??? lo q sucede q vi hace un tiempo un tipo de scan dentro del server pero ya no lo recuerdo.:paz:
     
    Última edición: 14 Jul 2010


  2. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    La verdad es que no conozco ni una herramienta que detecte una IP/MAC clonada, que yo sepa, mikrotik no lo hace, lo más que se puede hacer es detectar los intentos de intrusión, pero si ya está adentro, pues nada.

    Para eso está la seguridad wpa, la autenticación pppoe, hay varias maneras en base a sistemas de seguridad para evitar infiltraciones a una red.

    Saludos.
     
  3. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
    ello hace que tu red se ponga bien inestable
     
  4. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Inestable si tienes tu red wireless hasta las patas, con tan bajo throughput que no pueda aguantar las colas que deja la encriptación.

    Saludos.
     
  5. Investa

    Investa Miembro frecuente

    Registro:
    11 Abr 2009
    Mensajes:
    65
    Likes:
    1
    Probablemente se refiera a la herramienta Tools/Ip Scan del Sistema Routeros. Al seleccionar una interface y el rango de ips (address range), por ejemplo, wlan y 192.168.4.0/24. el sistema empezará a hacer pings y listará los Ping + Mac de los equipos conectados. En caso de duplicidad de Mac + IP, Routeros mostrará solo una relación Ip +Mac.

    Investa Comunicaciones
    Representante Oficial de ThunderCAche PRO y
    Mikrotik Official Reseller: RouterBoard and Assembled Parts
     
  6. raul_debar

    raul_debar Suspendido

    Registro:
    1 Mar 2010
    Mensajes:
    120
    Likes:
    0
    se nota qe no conocen de software, SE LLAMA COLASOFT MAC SCANNER es basico, Si quieres el profesional se llama COLASOFT CAPSA, necesitas conectar un cable de red a una pc con windows, y correlo AHI DETECTARAS MAC clonadas con su respectivo ip,

    ----- mensaje añadido, 15-jul-2010 a las 19:34 -----

    logicamente desde tu ap
     
  7. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    ?
    Hombre, que es reconocer un IP/MAC clonado, no únicamente MAC, al parecer tienes demasiada confianza en soltar hartas piedras. xD

    Saludos.
     
  8. tender_rapist

    tender_rapist Miembro frecuente

    Registro:
    22 Oct 2009
    Mensajes:
    240
    Likes:
    5
    Alucinante ese software... por otro lado... oe ryohnosuke... digo yo... no sirve para detectar una ip/mac clonada o al menos saber si nos clonan; el campo Active Host Name que esta dentro del leases de nuestro DHCP server en el mikrotik???

    Porque ahi sale el nombre de la maquina cliente y no me imagino como el clonador RCSM pueda avetiguar ese campo como para que lo clone.
     
  9. tonet666p

    tonet666p Miembro maestro

    Registro:
    1 Set 2009
    Mensajes:
    608
    Likes:
    11
    Yo se como, RECUERDAN QUE EN UN POST DIJE QUE TENIA UN PROGRAMITA LLAMADO VyPress Chat???????, PUES ESTE ABRE UN PUERTO, NO RECUERDO BIEN CUAL ES, CREO QUE EL 3 MIL Y TANTOS, LA COSA ES QUE SI HAY UNA IP Y MAC CLONADA, PERO EL PUERTO ESE ESTA CERRADO, QUIERE DECIR QUE ES UN INTRUSO.

    Aun no se si el mikrotik puede prohibir accesos a computadoras que no tengan ese puerto abierto, pero de forma CACERA este truco funciona.
     
  10. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    bueno primero para activar ello el mikrotik tiene el DHCP Activado.. pero la mayoria no lo tiene.. y despues de ello apareceria solo Host Name.. no apareceria dos.. sino uno

    ----- mensaje añadido, 16-jul-2010 a las 09:45 -----

    Mira eso es lo mismo que llamar a nuestro cliente y decirle si esta prendida su maquina.. si te dice que no.. entonces ves en el servidor que si esta prendida hay un pendex que ya clono su mac e ip...
    existen maneras de saber en el caso de linux existe una aplicacion ARPING para saber si responden.. ese tema tambien es bacan.. anota tu pregunta cuando nos veamos el 24 .. un abrazo
     
    Última edición: 16 Jul 2010
  11. tonet666p

    tonet666p Miembro maestro

    Registro:
    1 Set 2009
    Mensajes:
    608
    Likes:
    11
    bueno, realmente no tengo que molestar al cliente, solamente instalo el programita y punto, este se esconde como un demonio, o creo que en windows se llama proceso, la cosa es que se inicia automaticamnet, y tu solo escaneas los puertos de esa conexion, y si el puerto ese esta abierto, pues es tu cliente, y si no, pues es un intruso.

    AHhh, a que te refieres con EL 24???, la reuna de arequipa?, creo que ya fue...:cray:
     
  12. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    pero que pasa si el cliente tiene su maquina apagada???? en el mikrotik al igual que otros servidores se puede ver las conecciones incluyendo los puertos de un cliente... pero es interesante tu metodo..

    un abrazo
     
    Última edición: 16 Jul 2010
  13. tonet666p

    tonet666p Miembro maestro

    Registro:
    1 Set 2009
    Mensajes:
    608
    Likes:
    11
    no entiendo mucho, pero si el cliente tiene la maquina apagada y hay otro intruso en la red con la misma mac e IP solo hago el escaneo de puertos, por que si el cliente tiene la maquina apagada, pues no llega ninguna señal a mi base.
     
  14. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Ah, sí justamente eso es lo que uso, pero no es algo que te detecte al 100%, además eso de estar pendiente del server... pues una lata xD

    Aunque también me apoyo de las MAC's de las tarjetas de red de los clientes, y no tanto del MAC del AP (que usualmente es clonado)

    Los del ARP ping, pues en campo hay muchos escenarios que te da doble respuesta sin que necesariamente haya un MAC clonado. Fácil se leen en MUM Brazil 2008, que es bastante interesante, explican las estadísticas de los sistemas de "seguridad" usados en Brazil en 2001, y luego de acabados los mitos, un gran cambio el 2008, donde WPA y PPPoE tienen gran presencia.

    Saludos.
     
  15. raul_debar

    raul_debar Suspendido

    Registro:
    1 Mar 2010
    Mensajes:
    120
    Likes:
    0
    tengo que repetir el colasoft CAPSA da informacion profesional sobre la red wlan, quiere decir qe te especificara la mac + ip que existan en red, ahora si esta clonado te pondra la mac + la nueva ip que se ah asignado el supuesto hacker(aunque la denotacion hacker para este tipo es erronea ), es el mejor que conosco, ryohnosuke estas en nada...
     
  16. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Es que no lo pillas, que te clonan la MAC y también se ponen el mismo IP de la PC de tu cliente, no hablo de 2 IP's diferentes... y obviamente tu programa, que sinceramente es archiconocido, sólo verá un IP/MAC, en todo caso, lo que hace tu programa lo hace mikrotik como jugando.

    Saludos
     
    Última edición: 16 Jul 2010
  17. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    Amigo raul_debar te recomiendo que pruebes esto:
    1. Toma un AP y conectalo a la red.
    2. Toma dos laptops y ponle el mismo ip y el mismo mac.. los dos igualitos igualitos.
    3. Has que naveguen las dos laptops..
    4. Ahora en una tercer maquina has funcionar el COLASOFT capsa.. despues graba las imagenes que te dan como resultado y lo publicas por esta via, ahora veras que aparece como si hubiera una maquina.
    Este tema ya ha sido tocado hace mas de un año, junto con otras personas, por ello el moderador Ryo no toma en cuenta tu programa.
    Nos vemos
    un abrazzo friends
     
  18. martinduro

    martinduro Miembro frecuente

    Registro:
    30 Set 2009
    Mensajes:
    97
    Likes:
    1
    hola.disculpen encontre en el tema de evitar a los pirats q esta aca en la misma pagina este comentario de un usuario conocido llamado x su nick "williamsio" y esto es lo q comparte el,,: mas bien alguien ya probo esto ya q no soy muy asociado al linux:plop:

    Bueno para algunos que no lo sabian y para los que ya lo sabian traigo la forma de detectar un clonado mac/ip, recordaran que si un pirata nuestro de cada dia clonaba el mac y el ip parecia imposible detectarlo, pues aqui la forma de detectar un clonado de mac eh ip.

    Linux al rescate:
    Nuestro poderosisimo linux trae consigo una herramienta que hasta hace poco no sabia usarla llamada arping

    esta herramienta es capas de detectar el clonado mac/ip, ahora nos preguntamos como.

    veran este ejemplo
    sudo arping -D -I eth2 -c 2 192.168.0.54

    Estoy enviando un ping arp por mi tarjeta de red eth2 al ip 192.168.0.54
    espero la respuesta.
    y llega esto

    ARPING 192.168.0.54 from 0.0.0.0 eth2
    Unicast reply from 192.168.0.54 [00:22:B0:09:51:A4] 1.523ms
    Sent 1 probes (1 broadcast(s))
    Received 1 response(s)

    ahora facil para todos si llegan 2 respuestas estan clonando la mac eh ip.
    como hacer esto para toda la red.
    facil
    usar un script sh
     
    Última edición: 16 Jul 2010
  19. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    Se agradece martin.. se que has gastado tiempo buscando este post.. un abrazo y exitos
     
  20. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Bueno, mikrotik también tiene "arping", pero sinceramente, no me fue tan bien como esperaba, tanto en linux como en mikrotik, aunque para red cableada funciona perfecto. ¬¬

    Para wireless, aveces la conexión del clonador es lo suficientemente baja como para no responder al arp ping... bueno, inclusive la conexión con nuestro propio cliente puede ser no tan buena como para responder al mismo arp ping, así que puedes confundir la respuesta del clonador y dejar de lado la respuesta de nuestro propio cliente, y viceversa. Otro escenario es con 'virus de red' en una red de más de 1PC, todo esto detrás de un AP modo cliente, entonces el arping también responderá 2 o más veces según cuántas PC's infectadas tengas (IP spoofing), inclusive en mis propias pruebas, había doble respuesta aún habiendo dejado de clonar al MAC, aunque en este caso creo que se había pegado el mac al switch o algo. En todo caso, no lo considero un elemento muy de fiar, pero podría ser una referencia.

    Ahora, también se puede crear una tabla estática de ARP en el PC del clonador para evitar el ARPing, salvo que el que hace el ARPing sea el mismo router, caso mikrotik.

    Saludos.
     
    Última edición: 17 Jul 2010