ArpON (Arp handler inspectiON) es una herramienta que permite manipular algunos aspectos del protocolo ARP. Una de sus cualidades destacadas es la de hacer el protocolo ARP más seguro. Implementa dos técnicas de defensa contra ataques de envenenamiento ARP (ARP spoofing):
- SARPI "Static Arp Inspection"
- DARPI "Dynamic Arp Inspection"
-------------------------------------------------------------------------------------------------------------------------------
El ARP Spoofing: también conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en la LAN (red de área local), modificar el tráfico, o incluso detener el tráfico (conocido como DoS: Denegación de Servicio).
-------------------------------------------------------------------------------------------------------------------------------
Además de detectar y bloquear ataques derivados más complejos del estilo de DHCP Spoofing, DNS Spoofing, WEB Spoofing, Session Hijacking y SSL/TLS Hijacking.
Está pensado para funcionar en modo demonio, y actualmente está adaptado para sistemas GNU/Linux, Mac OS X, FreeBSD, NetBSD y OpenBSD.
Podemos encontrarlo en los repositorios de algunas distribuciones de GNU/Linux, o descargarlo desde su sitio web, donde hace unos pocos días publicaron la versión 2.2.
Implementa los siguientes algoritmos:
- SARPI - Static ARP inspection: Redes sin DHCP. Utiliza una lista estática de entradas y no permite modificaciones.
- DARPI - Dynamic ARP inspection: Redes con DHCP. Controla peticiones ARP entrantes y salientes, cachea las salientes y fija un timeout para la respuesta entrante.
- HARPI - Hybrid ARP inspection: Redes con o sin DHCP. Utiliza dos listas simultáneamente.
Una vez instalado la activación no es muy compleja. Tendremos que editar su fichero de configuración (/etc/default/arpon en Debian) para definir un algoritmo, la interfaz, el log y fijar el inicio en el arranque.
En modo DARPI, el log nos informa de las peticiones ARP entrantes que podrían ser un ataque, su bloqueo, y las peticiones verídicas.
12:12:35 - Wait link connection on wlan0...
12:12:43 - DARPI on dev(wlan0) inet(192.168.1.2) hw(ca:fe:ca:fe:ca:fe)
12:12:43 - Deletes these Arp Cache entries: # Al inicio se borran las entradas.
12:12:43 - 1) 192.168.1.1 -> fa:ba:da:fa:ba:da
12:12:43 - Cache entry timeout: 500 milliseconds.
12:12:43 - Realtime Protect actived! # Protección activada.
12:12:44 - Reply << Delete entry # Intentos de ARP Spoofing (entradas no verídicas).
192.168.1.1 -> fa:ba:da:fa:ba:da
12:12:54 - Reply << Delete entry
192.168.1.1 -> fa:ba:da:fa:ba:da
12:13:04 - Reply << Delete entry
192.168.1.1 -> fa:ba:da:fa:ba:da
12:13:06 - Request >> Add entry 192.168.1.1 # Petición propia de refresco.
12:13:06 - Reply << Refresh entry 192.168.1.1 -> be:be:be:be:be:be # Entrada verídica (respuesta dentro del timeout).
En caso de que no funcione bien en el arranque al inicio, ya se porque no detecte la interfaz. Y elegir en que interfaz activar la protección y cuando, por lo que se puede hacer un script para lanzarlo cuando lo desee (algoritmo DARPI).
#!/bin/bash
if [ $# -ne 1 ]; then
echo "Help: enable-arpon interface"
echo " Ex: enable-arpon eth0"
else
/usr/sbin/arpon -q -f /var/log/arpon/arpon.log -g -d -i $1
fi
La protección ideal sería tener todas las interfaces de la red protegidas con ArpON para conseguir una protección bidireccional en las comunicaciones.
Sin duda, un demonio que no debería faltar en ninguna máquina que se pasee por redes extrañas de cuando en cuando.
Sin duda, un demonio que no debería faltar en ninguna máquina que se pasee por redes extrañas de cuando en cuando.
Paginas de referencia:
No hay comentarios:
Publicar un comentario