You Are Reading

.

Compartelo:
0

Herramienta: ArpON para defenderse de ARP Spoofing/Poisoning y otros vicios

SIEH 5 de mayo de 2011 , ,
ArpON es un programa que pretende securizar ARP para mitigar ataques de tipo Man In The Middle (MITM) mediante ARP Spoofing/Poisoning, además de detectar y bloquear ataques derivados más complejos del estilo de DHCP Spoofing, DNS Spoofing, WEB Spoofing, Session Hijacking y SSL/TLS Hijacking.


Está pensado para funcionar en modo demonio, y actualmente está adaptado para sistemas GNU/Linux, Mac OS X, FreeBSD, NetBSD y OpenBSD.

Podemos encontrarlo en los repositorios de algunas distribuciones de GNU/Linux, o descargarlo desde su sitio web, donde hace unos pocos días publicaron la versión 2.2.

Implementa los siguientes algoritmos:
- SARPI - Static ARP inspection: Redes sin DHCP. Utiliza una lista estática de entradas y no permite modificaciones.
- DARPI - Dynamic ARP inspection: Redes con DHCP. Controla peticiones ARP entrantes y salientes, cachea las salientes y fija un timeout para la respuesta entrante.
- HARPI - Hybrid ARP inspection: Redes con o sin DHCP. Utiliza dos listas simultaneamente.

Una vez instalado la activación no es muy compleja. Tendremos que editar su fichero de configuración (/etc/default/arpon en Debian) para definir un algoritmo, la interfaz, el log y fijar el inicio en el arranque.

En modo DARPI, el log nos informa de las peticiones ARP entrantes que podrían ser un ataque, su bloqueo, y las peticiones verídicas.

  12:12:35 - Wait link connection on wlan0...
  12:12:43 - DARPI on dev(wlan0) inet(192.168.1.2) hw(ca:fe:ca:fe:ca:fe)
  12:12:43 - Deletes these Arp Cache entries:  # Al inicio se borran las entradas.
  12:12:43 - 1)     192.168.1.1 ->   fa:ba:da:fa:ba:da
  12:12:43 - Cache entry timeout: 500 milliseconds.
  12:12:43 - Realtime Protect actived!  # Protección activada.
  12:12:44 - Reply   << Delete entry  # Intentos de ARP Spoofing (entradas no verídicas).
192.168.1.1 -> fa:ba:da:fa:ba:da
  12:12:54 - Reply   << Delete entry
192.168.1.1 -> fa:ba:da:fa:ba:da
  12:13:04 - Reply   << Delete entry
192.168.1.1 -> fa:ba:da:fa:ba:da
  12:13:06 - Request >> Add entry 192.168.1.1  # Petición propia de refresco.
  12:13:06 - Reply   << Refresh entry 192.168.1.1 -> be:be:be:be:be:be  # Entrada verídica (respuesta dentro del timeout).

En mi caso no ha funcionado bien el arranque al inicio, ya que no detectaba la interfaz. Además, prefiero elegir en qué interfaz activar la protección y cuando, por lo que he hecho un script para lanzarlo cuando lo desee (algoritmo DARPI).

1
2
3
4
5
6
7
8
#!/bin/bash
 
if [ $# -ne 1 ]; then
        echo "Help: enable-arpon interface"
        echo "  Ex: enable-arpon eth0"
else
        /usr/sbin/arpon -q -f /var/log/arpon/arpon.log -g -d -i $1
fi

Como bien comentan en la documentación, la protección ideal sería tener todas las interfaces de la red protegidas con ArpON para conseguir una protección bidireccional en las comunicaciones.

Sin duda, un demonio que no debería faltar en ninguna máquina que se pasee por redes extrañas de cuando en cuando.
 

0 comentarios:

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT