ArpON para defenderse de ARP Spoofing/Poisoning y otros

ArpON es un programa que pretende securizar ARP para mitigar ataques de tipo Man In The Middle (MITM)mediante ARP Spoofing/Poisoning, además de detectar y bloquear ataques derivados más complejos del estilo de DHCP Spoofing, DNS Spoofing, WEB Spoofing, Session Hijacking y SSL/TLS Hijacking.
Está pensado para funcionar en modo demonio, y actualmente está adaptado para sistemas GNU/Linux, Mac OS X, FreeBSD, NetBSD y OpenBSD.


Podemos encontrarlo en los repositorios de algunas distribuciones de GNU/Linux, o descargarlo desde su sitio web, donde hace unos pocos días publicaron la versión 2.2.

Implementa los siguientes algoritmos:
SARPI Static ARP inspection: Redes sin DHCP. Utiliza una lista estática de entradas y no permite modificaciones.
DARPI Dynamic ARP inspection: Redes con DHCP. Controla peticiones ARP entrantes y salientes, cachea las salientes y fija un timeout para la respuesta entrante.
HARPI Hybrid ARP inspection: Redes con o sin DHCP. Utiliza dos listas simultaneamente.

Una vez instalado la activación no es muy compleja. Tendremos que editar su fichero de configuración (/etc/default/arpon en Debian) para definir un algoritmo, la interfaz, el log y fijar el inicio en el arranque.

En modo DARPI, el log nos informa de las peticiones ARP entrantes que podrían ser un ataque, su bloqueo, y las peticiones verídicas.

  12:12:35 – Wait link connection on wlan0…
12:12:43 – DARPI on dev(wlan0) inet(192.168.1.2) hw(ca:fe:ca:fe:ca:fe)
12:12:43 – Deletes these Arp Cache entries:  # Al inicio se borran las entradas.
12:12:43 – 1)     192.168.1.1 ->   fa:ba:da:fa:ba:da
12:12:43 – Cache entry timeout: 500 milliseconds.
12:12:43 – Realtime Protect actived!  # Protección activada.
12:12:44 – Reply   << Delete entry  # Intentos de ARP Spoofing (entradas no verídicas).
192.168.1.1 -> fa:ba:da:fa:ba:da
12:12:54 – Reply   << Delete entry
192.168.1.1 -> fa:ba:da:fa:ba:da
12:13:04 – Reply   << Delete entry
192.168.1.1 -> fa:ba:da:fa:ba:da
12:13:06 – Request >> Add entry 192.168.1.1  # Petición propia de refresco.
12:13:06 – Reply   << Refresh entry 192.168.1.1 -> be:be:be:be:be:be  # Entrada verídica (respuesta dentro del timeout).

En mi caso no ha funcionado bien el arranque al inicio, ya que no detectaba la interfaz. Además, prefiero elegir en qué interfaz activar la protección y cuando, por lo que he hecho un script para lanzarlo cuando lo desee (algoritmo DARPI).

#!/bin/bash
if [ $# -ne 1 ]; then
echo “Help: enable-arpon interface”
echo ”  Ex: enable-arpon eth0″
else
/usr/sbin/arpon -q -f /var/log/arpon/arpon.log -g -d -i $1
fi

Como bien comentan en la documentación, la protección ideal sería tener todas las interfaces de la red protegidas con ArpON para conseguir una protección bidireccional en las comunicaciones.

Lo puedes descargar desde este enlace.

Sin duda, un demonio que no debería faltar en ninguna máquina que se pasee por redes extrañas de cuando en cuando.

Fuente: SecurityByDefault

Share

This entry was posted in hardening, redes, seguridad, tools. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.