Detectando ARP Spoofing con Mikrotik

Vengo medio atrazado leyendo el foro ingles de MikroTik y es porque los días que estuve dando entrenamiento no tenia el tiempo para estar actualizándome. Pero he dejado como pendiente un post llamativo que hay en el foro, que no he tenido la oportunidad de probarlo, por lo que no lo he puesto en MKE Solutions, pero lo paso acá para el que desee testearlo comente como le fue.

El hilo original se encuentra en el foro, y muestra unas lineas  de código que las transcribiré acá y luego muestra con capturas de pantallas, los cambios y una prueba de la función de detección.

/ip firewall filter

add action=reject chain=forward comment=»Reject if in the 24-hour-list» disabled=no reject-with=icmp-network-unreachable src-address-list=24-hour-list

add action=jump chain=forward comment=»Check if dest is an open customer» disabled=no dst-address-list=open-customers jump-target=open-customers
add action=jump chain=forward comment=»Check Known Bad Hosts» disabled=no jump-target=bad-hosts
add action=reject chain=forward comment=»Reject if in the 24-hour-list» disabled=no reject-with=icmp-network-unreachable src-address-list=24-hour-list

add action=return chain=bad-host-detection comment=»Take no action on bogons» disabled=no src-address-list=bogons
add action=add-src-to-address-list address-list=30-seond-list address-list-timeout=30s chain=bad-host-detection comment=»Add to the 30 second list» disabled=no

add action=add-src-to-address-list address-list=24-hour-list address-list-timeout=»1d 00:00:00″ chain=bad-host-detection comment=»If seen 20 time in 30 seconds add to the one day block list» disabled=no nth=50 src-address-list=30-seond-list
add action=return chain=bad-host-detection comment=»» disabled=no

add action=jump chain=forward comment=»jump to the bad-host-detection chain» disabled=no jump-target=bad-host-detection src-address-list=!our-networks

add action=jump chain=forward comment=»jump to the bad-host-detection chain» disabled=no jump-target=bad-host-detection src-address-list=!our-networks
add action=log chain=forward comment=»log and reject the rest» disabled=no log-prefix=»»
add action=reject chain=forward comment=»» disabled=no reject-with=icmp-network-unreachable

Si llegan hacer la prueba, será bienvenido el aporte del mismo. Vuelvo a repetir que no he probado nada de su funcionamiento y no puedo asegurar que sea el correcto.

3 comentarios

  1. Hola, congratulaciones por tu blog.
    No soy muy bueno con el inglés, más o menos entiendo, pero cuando se pone muy específico no estoy seguro de estar entendiendo correctamente. Por lo que te pregunto: Que se supone que logra con esto?. La tabla ARP sirve para separar segmentos?. Tengo armada una red con un bridge armado en Mikrotik, este bridge funciona como un bridge físico, separando los segmentos basandosé en la tabla ARP o envía las señales a todos los equipos y los mismos lo aceptan y rechazan?.
    Disculpá mi ignorancia. Nos vemos.

  2. ARP(Address Resolution Protocol) y su funcion es resolucionar su MAC Address a partir de su IP, osea si un equipo por ejemplo una terminal tonta no conoce su MAC Address pero si su IP entonces manda un broadcast preguntando cual es su MAC Address y alguien le va a responder.

  3. Hola, amigo tengo funcionando el mikrotik y no me anda funcionando el amarre ip mac, es decir que tengo registrados ip y mac y lo q sucede es que cuando pongo otra ip de otro mac q le hice el amarre tengo acceso normal es decir q desde una mac registrada con cualquier ip registrado en la lista ARP hacen conexion. ESPERO SU AYUDA GRACIAS

Deja una respuesta

Tu dirección de correo electrónico no será publicada.