Se leyó el día 27/07/2017 la noticia en
RedesZone: "Cómo ocultar tu equipo en la red local para no ser
detectado" (https://www.redeszone.net/2017/07/26/ocultar-equipo-red-local/),
en la cual se comenta como hacer indetectable tú equipo en la red interna en
donde se encuentre conectado.
Se consigue configurando el firewall de Windows para bloquear las comunicaciones a través del protocolo ICMP, ya que es el protocolo más utilizado para detectar las presencia de equipos conectados en una red. Las herramientas que se suelen utilizar son:"Ping" y "Trace", que son, en definitiva, tipos especiales de paquetes del protocolo ICMP.
Se consigue configurando el firewall de Windows para bloquear las comunicaciones a través del protocolo ICMP, ya que es el protocolo más utilizado para detectar las presencia de equipos conectados en una red. Las herramientas que se suelen utilizar son:"Ping" y "Trace", que son, en definitiva, tipos especiales de paquetes del protocolo ICMP.
También indican que habría que revisar todo protocolo susceptible de indicar que nuestro equipo se encuentra conectado a la red para poder así estar 100% seguros de que nadie es capaz de detectarnos.
Pues, se puede afirmar que dicho planteamiento no es del todo correcto. Aunque se bloquee las peticiones entrantes del protocolo ICMP en un equipo o cualquier otro protocolo, es posible detectar dicho equipo.
Párrafo de la noticia
leída
Nunca se puede estar al 100 % seguro de que
nadie es capaz de detectar nuestra máquina.
¿Por qué?
Porque, en redes IPv4, siempre se puede utilizar el protocolo de capa 2 (Nivel o Capa de Enlace del modelo OSI): ARP, para determinar la presencia de una máquina en la red.
En cualquier comunicación, se marca una
dirección IP (Nivel o Capa de Red del modelo OSI) y un puerto de destino (Nivel
o Capa de Transporte del modelo OSI). Pero, por debajo de todo esto y de manera
transparente al usuario se trabaja con el Nivel o Capa de Enlace del modelo
OSI, ya que toda red es a su vez una red local, es decir, Internet es una red
local dentro de una red local y dentro de una red local, y así en bucle.
Esta Capa de Enlace se utiliza, básicamente,
para buscar la dirección MAC del dispositivo que tiene asignada la IP buscada o
la IP de aquel dispositivo que conoce cómo llegar a ese dispositivo (comúnmente
conocido como: Puerta de Enlace).
Esa información, la relación de IP y MAC, que se almacena en la tabla ARP, permanece en
el equipo durante un cierto tiempo.
En definitiva, el protocolo ARP determina la
MAC de la IP a la que va dirigida la comunicación saliente y genera un tabla
con esa información.
De todo esto, se obtiene el famoso ataque ARP
Spoofing para poder realizar el también afamado ataque: MiTM (Man in the Middle
- Hombre en el medio).
Más información:
Más información:
https://es.wikipedia.org/wiki/Internet_Control_Message_Protocol
https://es.wikipedia.org/wiki/Protocolo_de_resoluci%C3%B3n_de_direcciones
https://es.wikipedia.org/wiki/Ataque_de_intermediario
https://es.wikipedia.org/wiki/ARP_Spoofing
Un ejemplo
Sobre una máquina virtual de uso propio, con el direccionamiento que se muestra en pantalla, se aplica la instrucción indicada en el artículo precursor de este artículo, y que permite la inclusión en el firewall de Windows de una regla para bloquear comunicaciones a través del protocolo ICMP.
Se comprueba desde otra máquina virtual que
se encuentra en el mismo rango de direccionamiento que un "ping" a la
máquina anteriormente comentada, no responde y no podemos afirmar que se
encuentre activa.
Pero que ocurre cuando tras lanzar un
"ping", se consulta la tabla ARP
Se obtiene la dirección MAC, y por lo tanto
podemos afirmar que la máquina se encuentra activa.
Por lo tanto, no se puede afirmar que una
máquina puede encontrarse 100% oculta frente al resto de equipos de su red.
RECORDEMOS: NUNCA
SE ESTA 100% SEGURO
Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.
No hay comentarios:
Publicar un comentario