teoría-spoofing: (0.01) Nociones de spoofing necesarias para el filtrado de paquetes Resumen de contenido: -------------------- Spoofing IP y arp spoof spoof = engaño IP spoofing arp spoof DNS spoof CONCLUSIONES Prohibir entradas desde Internet desde nuestras IP (spoof) Activar verificación de dirección fuente del kernel Spoofing IP y arp spoof spoof = engaño El vocablo inglés "spoof" significa algo así como "parodia", "truco", "engaño" Así spoofing hace referencia a cualquier forma de hacerse pasar por quien no se es (para acceder a nuestro sistema) IP spoofing Un intruso puede hacerse pasar por la IP de tu PC o por tu loopback (127.0.0.1), o por la IP de un PC de tu red y tener pleno acceso a tu sistema/red. Es increíble pero es así. arp spoof Supongo que es cuando alguien se hace pasar por otra dirección MAC ethernet que no es la suya MAS DETALLES: Las tarjetas de red local ethernet tienen una dirección MAC (que no tiene nada que ver con la IP) que emplean para comunicarse entre ellas Cuando haces un ping a una máquina de tu red ethernet 1) Se pregunta ¿A quien le han asignado la IP tal? con un ARP request (ethernet broadcast a la MAC ff:ff:ff:ff:ff:ff) 2) La máquina en cuestión contesta 3) Se establece la comunicación entre las dos tarjetas DNS spoof Creo que esto es cuando alguien modifica un servidor DNS de dominio para suplantar otro sistema CONCLUSIONES Prohibir entradas desde Internet desde nuestras IP (spoof) En nuestro cortafuegos lo segundo que hemos de prohibir (tras los fragmentos) son las entradas desde Internet de IPs locales de nuestra red y del loopback y desde la IP que tenemos asignada en Internet Activar verificación de dirección fuente del kernel En los kernel 2.2 puede activarse el "rp_filter" que es una verificación de la dirección fuente para evitar el spoof En Slink y Potato el "rp_filter" viene activado por defecto, en Potato se hace desde el script /etc/init.d/networking