8 de Octubre, 2004

Los problemas de un enrutador

Esta máquina, a parte de la web y otros servicios, se encarga de manejar tráfico de tres redes: mi red local, Internet y elxwifi (red inalámbrica).

Mi red local, gestionada por ne3, tiene salida a Internet, mediante rl0, y a su vez salida a la red wireless con wi0.

Me he encontrado con este mensaje en los logs del sistema:

Oct  8 11:55:28 blackshell /bsd: arp: attempt to overwrite entry\
 for 192.168.0.50 on lo0 by 00:10:b5:de:92:dc on wi0

¿Qué significa esto? La IP de ne3 es 192.168.0.50 y la tarjeta con MAC 00:10:b5:de:92:dc está intentando sobreescribir su entrada. Además esta petición llega por lo0, lo que podría ser debido a que soy permisivo con el tráfico en loopback (pero no sé aun si es debido a esto).

¿Cómo es posible que me llegue una petición ARP de la subred 192.168.0.x por wi0 si en ese interfaz solo se pueden recibir peticiones de las subredes de 10.1.x.x?

Lo he confirmado, algo va mal:

# tcpdump -n -i wi0 arp
tcpdump: listening on wi0
[...]
11:53:02.693138 arp who-has 192.168.0.5 tell 192.168.0.60
11:53:09.863470 arp who-has 192.168.0.254 tell 192.168.0.13
11:53:31.270527 arp who-has 192.168.0.253 tell 192.168.0.254
[...]
11:53:52.575000 arp who-has 192.168.0.5 tell 192.168.0.20
11:54:12.959079 arp who-has 192.168.0.253 tell 192.168.0.249
11:54:33.444521 arp who-has 192.168.0.60 tell 192.168.0.250
[...]

Solo he dejado las peticiones interesantes de la salida de tcpdump.

En este caso no hay problema porque el cortafuegos está bien configurado y, aunque consiguieran darme una MAC incorrecta para una IP de mi red local, nunca pasaría el tráfico IP y no se podría suplantar a esa máquina de la red local (Nota: ARP poisoning).

Las peticiones ARP están en la capa de Red y normalmente los cortafuegos trabajan en la capa de Transporte, lo cual hace complicado controlar estas situaciones.

Anotación por Juan J. Martínez.

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.