[GTER] Re: Ataques com IP Spoofing - 'IP Smart Spoofing'

Antonio Augusto de Cintra Batista antonio at interprov.com.br
Mon Nov 11 18:40:00 -02 2002


Este tipo de ataque já era conhecido há bastante tempo como ARP
POISONING. Acho um nome bem mais apropriado, alem do que IP Smart
Spoofing está me parecendo um jeitinho de fazer parecer novo algo
já um tanto antigo. Ferramentas para isto existem em variedade,
como o etherape que é free software.

O assunto é antigo, é certo... mas é também lamentável que até hoje
pouco se tenha avançado em relação a soluções: na minha intranet tenho
um sistema GNU/Linux que roda ArpWatch para cadastrar tabela ARP e
alertar em caso de mudanças ou inconsistência, e um script que
bloqueia no switch o MAC address de um pretenso invasor até que se
tome medidas de aprovação ou condenação; obviamente a Política de
Segurança exige que uma nova máquina seja cadastrada antes de poder
utilizar a intranet (porque senão eu poderia ter dor-de-cabeça).

Antonio Batista


On Mon, Nov 11, 2002 at 06:15:12PM -0200, cribeiro at mail.inet.com.br wrote:
> ...
> Outro problema com o ARP é que a semântica do processamento de ARPs é
> muito vafa e dá margem para muitas variações, tornando a administração
> desnecessariamente complicada. Na minha opinião, as regras deveriam ser
> mais claras e precisas para muitas coisas: tempo de expiração, o que fazer
> com ARPs gratuitos, precedência no caso de respostas ambíguas, alarmes
> para mudanças de associação IP+ARP (que podem ser mudanças legítimas, ou
> podem ser indício de ataque), etc.
> 
> Carlos Ribeiro
> INFTEC
> 
> 



More information about the gter mailing list