/home/blaster [ Blaster's blog ]

Archive for Junio, 2008

Hub

Un HUB tal como dice su nombre es un concentrador. Simplemente une conexiones y no altera las tramas que le llegan. Para entender como funciona veamos paso a paso lo que sucede (aproximadamente) cuando llega una trama.

Visto lo anterior podemos sacar las siguientes conclusiones:

1 - El HUB envía información a ordenadores que no están interesados. A este nivel sólo hay un destinatario de la información, pero para asegurarse de que la recibe el HUB envía la información a todos los ordenadores que están conectados a él, así seguro que acierta.

2 - Este tráfico añadido genera más probabilidades de colisión. Una colisión se produce cuando un ordenador quiere enviar información y emite de forma simultánea que otro ordenador que hace lo mismo. Al chocar los dos mensajes se pierden y es necesario retransmitir. Además, a medida que añadimos ordenadores a la red también aumentan las probabilidades de colisión.

3 - Un HUB funciona a la velocidad del dispositivo más lento de la red. Si observamos cómo funciona vemos que el HUB no tiene capacidad de almacenar nada. Por lo tanto si un ordenador que emite a 100 megabit le trasmitiera a otro de 10 megabit algo se perdería el mensaje. En el caso del ADSL los routers suelen funcionar a 10 megabit, si lo conectamos a nuestra red casera, toda la red funcionará a 10, aunque nuestras tarjetas sean 10/100.

4 - Un HUB es un dispositivo simple, esto influye en dos características. El precio es baratito. El retardo, un HUB casi no añade ningún retardo a los mensajes.

Switch

Cuando hablamos de un switch lo haremos refiriéndonos a uno de nivel 2, es decir, perteneciente a la capa “Enlace de datos”. Normalmente un switch de este tipo no tiene ningún tipo de gestión, es decir, no se puede acceder a él. Sólo algunos switch tienen algún tipo de gestión pero suele ser algo muy simple. Veamos cómo funciona un “switch”.

Puntos que observamos del funcionamiento de los “switch”:

1 - El “switch” conoce los ordenadores que tiene conectados a cada uno de sus puertos (enchufes). Cuando en la especificación del un “switch” leemos algo como “8k MAC address table” se refiere a la memoria que el “switch” destina a almacenar las direcciones. Un “switch” cuando se enchufa no conoce las direcciones de los ordenadores de sus puertos, las aprende a medida que circula información a través de él. Con 8k hay más que suficiente. Por cierto, cuando un “switch” no conoce la dirección MAC de destino envía la trama por todos sus puertos, al igual que un HUB (“Flooding”, inundación). Cuando hay más de un ordenador conectado a un puerto de un “switch” este aprende sus direcciones MAC y cuando se envían información entre ellos no la propaga al resto de la red, a esto se llama filtrado.

El tráfico entre A y B no llega a C. Como decía, esto es el filtrado. Las colisiones que se producen entre A y B tampoco afectan a C. A cada parte de una red separada por un “switch” se le llama segmento.

2 - El “switch” almacena la trama antes de reenviarla. A este método se llama “store & forward”, es decir “almacenar y enviar”. Hay otros métodos como por ejemplo “Cut-through” que consiste en recibir los 6 primeros bytes de una trama que contienen la dirección MAC y a partir de aquí ya empezar a enviar al destinatario. “Cut-through” no permite descartar paquetes defectuosos. Un “switch” de tipo “store & forward” controla el CRC de las tramas para comprobar que no tengan error, en caso de ser una trama defectuosa la descarta y ahorra tráfico innecesario. El “store & forward” también permite adaptar velocidades de distintos dispositivos de una forma más cómoda, ya que la memoria interna del “switch” sirve de “buffer”. Obviamente si se envía mucha información de un dispositivo rápido a otro lento otra capa superior se encargará de reducir la velocidad.

Finalmente comentar que hay otro método llamado “Fragment-free” que consiste en recibir los primeros 64 bytes de una trama porque es en estos donde se producen la mayoría de colisiones y errores. Así pues cuando vemos que un “switch” tiene 512KB de RAM es para realizar el “store & forward”. Esta RAM suele estar compartida entre todos los puertos, aunque hay modelos que dedican un trozo a cada puerto.

3 - Un “switch” moderno también suele tener lo que se llama “Auto-Negotation”, es decir, negocia con los dispositivos que se conectan a él la velocidad de funcionamiento, 10 megabit ó 100, así como si se funcionara en modo “full-duplex” o “half-duplex”. “Full-duplex” se refiere a que el dispositivo es capaz de enviar y recibir información de forma simultánea, “half-duplex” por otro lado sólo permite enviar o recibir información, pero no a la vez.

4 - Velocidad de proceso: todo lo anterior explicado requiere que el “switch” tenga un procesador y claro, debe ser lo más rápido posible. También hay un parámetro conocido como “back-plane” o plano trasero que define el ancho de banda máximo que soporta un “switch”. El “back plane” dependerá del procesador, del número de tramas que sea capaz de procesar. Si hacemos números vemos lo siguiente: 100megabits x 2 (cada puerto puede enviar 100 megabit y enviar 100 más en modo “full-duplex”) x 8 puertos = 1,6 gigabit. Así pues, un “switch” de 8 puertos debe tener un “back-plane” de 1,6 gigabit para ir bien. Lo que sucede es que para abaratar costes esto se reduce ya que es muy improbable que se produzca la situación de tener los 8 puertos enviando a tope… Pero la probabilidad a veces no es cierta wink.gif

5 - Si un nodo puede tener varias rutas alternativas para llegar a otro un “switch” tiene problemas para aprender su dirección ya que aparecerá en dos de sus entradas. A esto se le llama “loop” y suele haber una lucecita destinada a eso delante de los “switch”. El protocolo de Spanning Tree Protocol IEEE 802.1d se encarga de solucionar este problema, aunque los “switch” domésticos no suelen tenerlo… No hagáis redondas…

Router
Un router (en español enrutador o encaminador) es un dispositivo hardware o software de interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. Este dispositivo interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la información de la capa de red.

El router toma decisiones lógicas con respecto a la mejor ruta para el envío de datos a través de una red interconectada y luego dirige los paquetes hacia el segmento y el puerto de salida adecuados. Sus decisiones se basan en diversos parámetros. Una de las más importantes es decidir la dirección de la red hacia la que va destinado el paquete (En el caso del protocolo IP esta sería la dirección IP). Otras decisiones son la carga de tráfico de red en las distintas interfaces de red del router y establecer la velocidad de cada uno de ellos, dependiendo del protocolo que se utilice.

En el ejemplo del diagrama, se muestran 3 redes IP interconectadas por 2 routers. La computadora con el IP 222.22.22.1 envía 2 paquetes, uno para la computadora 123.45.67.9 y otro para 111.11.11.1 A través de sus tablas de enrutamiento configurados previamente, los routers pasan los paquetes para la red o router con el rango de direcciones que corresponde al destino del paquete. Nota: el contenido de las tablas de rutas está simplificado por motivos didácticos. En realidad se utilizan máscaras de red para definir las subredes interconectadas.

Los broadcast, o difusiones, se producen cuando una fuente envía datos a todos los dipositivos de una red. En el caso del protocolo IP, una dirección de broadcast es una dirección compuesta exclusivamente por números unos (1) en el campo del host (para la dirección ip en formato binario de modo que para una máscara de red 255.255.255.0 la dirección de broadcast para la dirección 192.168.0.1 seria la 192.168.0.255 o sea xxxxxxxx.xxxxxxxx.xxxxxxxx.11111111). Los protocolos de enrutamiento son aquellos protocolos que utilizan los routers o encaminadores para comunicarse entre sí y compartir información que les permita tomar la decisión de cual es la ruta más adecuada en cada momento para enviar un paquete. Los protocolos más usados son RIP (v1 y v2), OSPF (v1, v2 y v3), y BGP (v4), que se encargan de gestionar las rutas de una forma dinámica. aunque no es estrictamente necesario que un router haga uso de estos protocolos, pudiéndosele indicar de forma estática las rutas (caminos a seguir) para las distintas subredes que estén conectadas al dispositivo. Comúnmente los routers se implementan también como puertas de acceso a Internet (por ejemplo un router ADSL), usándose normalmente en casas y oficinas pequeñas. Es correcto utilizar el término router en este caso, ya que estos dispositivos unen dos redes (una red de área local con Internet). Existe la posibilidad de no utilizar equipos dedicados, opción que puede ser la más adecuada para redes locales o redes con un tráfico limitado, y usar software que implemente los protocolos de red antes mencionados. Para dar funcionalidad de router a un PC con los sistemas operativos GNU/Linux o BSD es suficiente con añadirle al menos dos interfaces de red y activar el soporte de enrutamiento en el kernel.

Donde usar Switch?

Uno de los principales factores que determinan el exito del diseño de una red, es la
habilidad de la red para proporcionar una satisfactoria interacción entre cliente/servidor, pues los usuarios juzgan la red por la rápidez de obtener un prompt y la confiabilidad del servicio.
Hay diversos factores que involucran el incremento de ancho de banda en una LAN:
•El elevado incremento de nodos en la red.
•El continuo desarrollo de procesadores mas rápidos y poderosos en estaciones de
trabajo y servidores.
•La necesidad inmediata de un nuevo tipo de ancho de banda para aplicaciones
intensivas cliente/servidor.
•Cultivar la tendencia hacia el desarrollo de granjas centralizadas de servidores para
facilitar la administración y reducir el número total de servidores.
La regla tradicional 80/20 del diseño de redes, donde el 80% del tráfico en una LAN
permanece local, se invierte con el uso del switch.
Los switches resuelven los problemas de anchos de banda al segmentar un dominio de colisiones de una LAN, en pequeños dominios de colisiones.
En la figura la segmentación casí elimina el concurso por el medio y da a cada estación final más ancho de banda en la LAN.

Donde usar un ruteador?

Las funciones primarias de un ruteador son:
•Segmentar la red dentro de dominios individuales de brodcast.
•Suministrar un envio inteligente de paquetes. Y
•Soportar rutas redundantes en la red.
Aislar el tráfico de la red ayuda a diagnosticar problemas, puesto que cada puerto del ruteador es una subred separada, el tráfico de los brodcast no pasaran a través del ruteador.
Otros importantes beneficios del ruteador son:
•Proporcionar seguridad a través de sotisficados filtros de paquetes, en ambiente
LAN y WAN.
•Consolidar el legado de las redes de mainframe IBM, con redes basadas en PCs a
través del uso de Data Link Switching (DLSw).
•Permitir diseñar redes jerarquicas, que delegen autoridad y puedan forzar el manejo
local de regiones separadas de redes internas.
•Integrar diferentes tecnologías de enlace de datos, tales como Ethernet, Fast
Ethernet, Token Ring, FDDI y ATM.

En los sistemas basados en Unix los archivos poseen importantes atributos que rigen su comportamiento con respecto a los usuarios, los permisos. Estos se dividen en 3 niveles, permisos de propietario, permisos de grupo y permisos para el resto del mundo. Dentro de cada nivel hay 3 tipos de permisos: lectura, escritura y ejecución.

Los permisos de lectura controlan si un usuario puede visualizar un archivo, los permisos de escritura determinan si un usuario puede realizar cambios en un archivo y los permisos de ejecución controlan si un usuario puede iniciar o ejecutar un archivo. Cuando se aplican a un directorio, si el permiso de ejecución está desactivado significa que no se puede ejecutar el comando cd sobre el mismo, no se puede visualizar el contenido y no se pueden realizar cambios, si el permiso de lectura está desactivado, se puede crear y leer archivos pero no se puede obtener un listado del contenido del mismo y si el permiso de escritura está desactivado se puede visualizar un listado del contenido y leer archivos, pero no se pueden crear nuevos archivos.

Para ver los permisos de los arhivos podemos usar el comando ls -l esto nos proporcionará un listado en el que se asocian permisos con archivos. En cada archivo encontraremos una cadena del estilo siguiente:

-rw-rwx-r–
drwxrwxr–

El primer caracter determina si es un archivo ‘-’ o un directorio ‘d’, los primeros 3 son los permisos del propietario, los 3 siguientes del grupo y los 3 últimos del resto del mundo.

Para modificar los permisos de un archivo tenemos el comando chmod. Este comando tiene dos modos de uso a los que llamaremos implícito y explícito:

Modo Explícito

Este modo lo he denominado así debido a que su sintaxis expresa de manera clara los cambios que se realizan en los archivos. Tiene el siguiente formato:

chmod “nivel” “acción” “permiso” “nombre de archivo” “nombre de archivo”

Niveles

Propietario - ‘u’
Grupo - ‘g’
Resto - ‘o’
Todos - ‘a’

Acciones

Conceder un permiso -’+’
Retirar un permiso - ‘-’

Permisos

Lectura - ‘r’
Escritura - ‘w’
Ejecución - ‘x’

Así por ejemplo si queremos añadirle permisos de lectura y ejecución a los 3 niveles de un archivo hariamos lo siguiente:

chmod a+rx archivo

Si quisieramos quitarle a un archivo el permiso de lectura al resto del mundo haríamos lo siguiente:

chmod o-r archivo

Modo Implícito

Este método consiste en modificar la máscara de bits que controla realmente los permisos. En esta máscara se asignan 3 bits a cada nivel, cada bit corresponde a un permiso (rwx), con lo cual cada terna funcionará del siguiente modo:

Lectura - 100 = 4
Escritura - 010 =2
Ejecución - 001 = 1

La combinación de estos permisos equivale a un número decimal, luego a la hora de asignar permisos hay que hacer la suma total que nos daría el valor exacto de permisos que tendrá cada nivel. Funcionaría de la siguiente manera:

chmod “valor propietario”"valor grupo”"valor resto” “archivo”

De este modo si quisieramos activar los permisos de lectura y escritura del propietario, los de ejecución del grupo y desactivar todos del resto haríamos lo siguiente:

chmod 610 archivo

Con lo que la salida del ls sería la siguiente:

-rw—x—

Cuando se usa el modo implícito hay que tener en cuenta que estamos modificando todos los permisos de cada nivel así que hay poner correctamente el número para no desactivar permisos sin darnos cuenta.

Consiste en mandar paquetes ICMP de “echo request” (como los de un ping) con una falsa dirección de origen (la IP de la víctima) a una dirección de difusión (”broadcast”). De esta forma alcanzarán muchas máquinas, cada una de las cuales enviará sus paquetes de respuesta a la dirección origen de la petición (cuyos datos estaban falseados y apuntaban a la víctima). El resultado es que la máquina víctima se ve inundada de paquetes IP, resultando en una saturación de su enlace (algo así como si le hubieran hecho un ping a lo grande).

Desgraciadamente la víctima no puede hacer nada para evitarlo. La solución está en manos de los administradores de red, los cuales deben configurar adecuadamente sus routers para filtrar los paquetes ICMP de petición indeseados (broadcast) o bien configurar sus máquinas para que no respondan a dichos paquetes. Es decir, que lo que se parchea son las máquinas/redes que puedan actuar de intermediarias (inocentes) en el ataque y no la máquina víctima.

De igual forma también se podría evitar el ataque si el router/firewall de salida del atacante (p.ej. el ISP al que pertenece) estuviera convenientemente configurado para evitar spoofing. Esto se haría filtrando todos los paquetes de salida que tuvieran una dirección source (origen) que no perteneciera a la red interna (desde la cual salimos).

Para más información sobre “smurf” os remito a:

http://www.quadrunner.com/~c-huegen/smurf.txt

Con esta técnica conseguimos spoofear nuestro hostname, es decir, que un servidor nos asocie el nombre de host que queramos (y no el que tiene realmente, que es único) (en realidad, puede haber más de uno, pero sólo uno es el real, lo que se conoce como “canonical name” mientras que los demás son simples “aliases”).

La explicación detallada es compleja y excede los objetivos de este documento. A título informativo paso a esbozar o perfilar lo que sería el Inject.

Cada servidor (ya sea de IRC, ftp, étc) tiene asociado uno o más “servidores de nombres” (NS, del inglés: Name Server) que resuelven todas las peticiones de conexión que le llegan: para cada IP que peticiona conexión buscan y almacenan el hostname correspondiente para su posterior uso. El proceso sería el siguiente:

- un usuario de la máquina A intenta conectarse a un puerto de la máquina B (el servidor IRC, ftp, …).
- B recibe la dirección IP desde la que peticionamos (la de A) y se la entrega a C (otro host: el NS) para que la resuelva.
- C resuelve y devuelve su respuesta a B.
- B se “cree” la respuesta y la cachea en memoria.

Ahora tiene un par IP-hostname. A partir de este momento nosotros estamos identificados en el servidor con el hostname dado anteriormente por el NS.

Como se puede intuir el truco está en forzar al NS a que de una respuesta falsa (siempre en favor nuestro :-)). Digamos que modificamos los datos del NS para que responda a nuestra IP con el hostname que nosotros queremos y no con el que debería hacerlo realmente. Se dice que hemos “inyectado” (injectado, en inglés :-P) el NS.

El cómo hacer esto último es lo complicado y sólo voy a decir que el truco se basa en la “resolución recursiva” de los NS (cuando un NS no sabe la respuesta a la petición que le ha llegado lanza una nueva petición a otro NS, que posiblemente sí sepa la respuesta, y así sucesivamente –> de ahí la “recursividad”) y en tener finalmente un NS trucado que de respuestas falsas y que nosotros reprogramamos a nuestro gusto.

La principal ventaja es una vez más el anonimato (aparte de poder ir vacilando por el IRC con una identidad del tipo root@nasa.gov :-O).

Se describe como un servidor DNS que hace uso de información falsa recibida desde un host que no es autoridad para la información. Es una amenaza significativa para la seguridad de las organizaciones que no han tomado medidas para protegerse de ella. El DNS Spoofing puede permitir a los atacantes acceder al correo de un sitio, y puede hacer que los usuarios sean redirigidos a sitios Web incorrectos incluso proporcionando una abertura para un ataque de Negación de Servicio.

Ejemplos de modus operandi:
Escenario: La compañía, TAMJTeK Inc., está compitiendo para acabar el desarrollo del último software de juegos antes de que el capital de la empresa salga. Se comienza a anunciar el aviso pendiente de una brecha en tecnología de este juego en el sitio Web de Internet. Usted tiene una llamada de uno de los socios de la empresa. Ella desea saber por que termina llegando a http://www.hackncrack.net cuando intenta llegar a http://www.tamjtek.com. Usted intenta conectarse al sitio Web y, seguro, termina llegando a http://www.hackncrac.net. Usted prueba algunos otros sitios y todo parece muy bien excepto, que encuentra que su competidor más fuerte ha anunciado una brecha en el mismo juego. Su sitio Web demuestra una imagen de su juego, la cual parece notablemente similar a la suya con aspectos virtualmente idénticos. ¿Coincidencia? Quizás no.

En este año una aplicación desarrollada descubre que un número substancial de compañías en línea son vulnerables a DNS Spoofing. Esta vulnerabilidad hace que el escenario de TAMJTeK Inc. sea posible. Un ejemplo muy conocido de DNS Spoofing ocurrió en 1997 cuando Eugene Kashpureff redirigió a los que intentaban conectarse al registrar de dominios InterNIC y los llevaba a su propio sitio Web AlterNIC. EL señor Kashpureff utilizó el método de agregar un registro de datos falso en la respuesta de la consulta. Más recientemente, el DNS Spoofing y el secuestro de dominios fueron logrados usando solamente correo electrónico y un fax.

Ejemplo 1: Asume los siguientes dos dominios, hackncrack.net y tamjtek.com con las siguientes configuraciones:

Hackncrack.net (10.0.0.0) Tamjtek.com (11.0.0.0)
Ns1.hackncrack.net (10.0.0.5) ns1.tamjtek.com (11.0.0.5)
http://www.hackncrack.net(10.0.0.6) http://www.tamjtek.com(11.0.0.6)

El atacante ha modificado el servidor de nombres Hackncrack para responder a una consulta recursiva para los registros DNS Hackncrack con un falso registro autoritario, mapeando http://www.tamjtek.com a la dirección IP 10.0.0.6. El atacante entonces dirige una consulta al servidor de nombres TAMJTeK preguntando por los registros DNS sobre el sitio del atacante. El servidor de nombres TAMJTeK resuelve la consulta yendo al servidor de nombres Hackncrack. Desde que el servidor de nombres TAMJTeK no esta protegido contra DNS Spoofing, acepta y almacena el registro falso que incluye la respuesta. Siempre que una consulta se haga al sitio Web de TAMJTeK, el registro para el sitio Web Hacncrack será regresado y todo será redireccionado a http://www.hacckncrack.net. El atacante en Hackncrack puede también engañar un registro MX para dirigir el correo de TAMJTeK a su servidor de correo. Un registro falso MX puede desapercibir una cantidad de tiempo significativa si el atacante esta bien informado.

Ejemplo 2: Prediciendo el número de consulta ID, un atacante puede realizar otra adaptación de DNS Spoofing personificando un servidor de nombres. El protocolo DNS usa el protocolo UDP para comunicarse. Dada la naturaleza sin conexión de UDP, DNS es diseñado para establecer comunicaciones ordenadas entre equipos. Esto es logrado identificando datagramas con un número de consulta ID. El host que inicia la consulta asigna este número. En las versiones anteriores de BIND, este se incrementaba secuencialmente para cada nueva consulta. Con este ejemplo, podra observar como el atacante engaña a los usuarios de TAMJTeK.com haciendo parecer que ellos van a http://www.AnyBank.com cuando, en realidad, se están conectando a http://www.Hackncrack.net. El atacante en Hackncrack.net consulta TAMJTeK.com para la información que los atacantes poseen del dominio. El servidor de nombres TAMJTeK resuelve las consultas referidas a Hackncrack.net El servidor de nombres del atacante regresa la información correcta sobre sí mismo a TAMJTeK.com y el servidor de nombres de la víctima lo reenvía al host del atacante que inició la consulta. Para montar este ataque, el intruso tiene que, primero, aprender cual es el número ID de la consulta. Escuchando los datos durante la consulta se puede obtener éste. Una vez que el número ID sea disponible, el atacante hace un datagrama de la respuesta del DNS con información falsa: http://www.AnyBank.com = 10.0.0.6 y lo configura como si la fuente fuera ns.AnyBank.com. El atacante inicia una consulta para TAMJTaK.com preguntando por información sobre AnyBank.com e inserta el datagrama modificado en la línea como la respuesta. De nuevo, el servidor de nombres inseguro TAMJTeK.com acepta y almacena los datos. Cuando los usuarios de TAMJTeK intentan conectarse a http://www.AnyBank.com, ellos son redirigidos a una página Web específica en el servidor Web Hackncrack que contiene exactamente la información de la página de la cuenta AnyBank.com. En este punto, el atacante puede recolectar cuentas de usuarios y números de PIN a voluntad.

Ejemplo 3: Este ejemplo no describe un ataque DNS Spoofing en el sentido técnico más estricto del término pero, los resultados al final son los mismos y se puede decir que este estilo de ataque tiene el potencial para “envenenar” la caché de cada servidor de nombres en el Internet. Network Solutions Inc. fue el primero y sigue siendo uno de los primeros en registrar nombres de dominio. Durante el proceso de registro, NSI ofrece tres métodos de autorización y autenticación para proteger los registros contra actualizaciones no autorizadas. Estos métodos son colectivamente referidos por NSI como “Guardian”. El contacto personal que esta listado en el registro de nombre de dominio, también es conocido como un Guardian. Estos métodos son:

1. Mail-Form (Mínima Seguridad): El contacto somete una dirección de correo electrónico de la cual toda la administración de registro origine. Cuando un cambio de registro se somete a la NSI vía correo electrónico, la dirección de correo electrónico fuente es comprada con la dirección de correo sometida durante el inicio del dominio original.
2. Cryp-Password (Un poco de Seguridad): Durante la disposición inicial, el contacto escoge una contraseña. Esta contraseña es cifrada y almacenada en la base de datos del NSI. Cuando el administrador somete un cambio de registro, la versión en texto plano de la contraseña es incluida. NSI cifra el texto plano de la contraseña que acompaña la petición de cambio y la compara con la original.
3. PGP (Más Seguridad): NSI soporta mensajes cifrados con PGP si se originaron desde una plataforma Unix. Ninguna otra plataforma es soportada en este momento.

Los nombres conocidos como Nike, Net Media, Web Networks, Exodus y el Consorcio World Wide Web han sido afectados por la trampa del proceso de autentificación de la actualización de registros DNS. Durante un incidente, las pertenencias de Internet.com y otros 1300 dominios fueron transferidos lejos de Net Media cuando NSI recibió un fax que consistía en documentos falsos. Llevó varios días para que el dueño legal de los documentos retomara el control de los mismos. Imagine el estrago de algunos que justo al inicio de leer el correo electrónico corporativo, fueron redirigidos durante la confusión. Obviamente, cuanto más seguro el proceso de autentificación, más seguros los registros del dominio.

Una posible solución sería eliminar las relaciones de confianza basadas en la dirección IP o el nombre de las máquinas, sustituyéndolas por relaciones basadas en claves criptográficas; el cifrado y el filtrado de las conexiones que pueden aceptar nuestras máquinas también son unas medidas de seguridad importantes de cara a evitar el spoofing.

Fuentes:
http://www.ibiblio.org/pub/linux/docs/LuCaS/Manuales-LuCAS/doc-unixsec/unixsec-html/node274.html
http://www.seguridad.unam.mx/labsec/tuto/?id=135&ap=articulo&cabecera=2