sábado, 22 de dezembro de 2012

Evitando Ataques de Sniffing Com ArpON


Pessoal nesse artigo iremos ver como nos proteger contra sniffing, iremos aprender sobre o ArpON, uma ferramenta open source que faz ARP seguro, evitando com isso ataques como Man In The Middle, DHCP Spoofing, DNS Spoofing, Web Spoofing, Sequestro de sessão SSL entre outros. Ela funciona monitorando a tabela ARP da rede, gera e bloqueia alterações na tabela.

Bem como na maioria das empresas a maioria dos hosts são Windows iremos basear o laboratório no seguinte cenário:

                                                              
                                                                  FIREWALL  / GATEWAY
                                                                                  |
                                                                            SWITCH
                                                                                  |
                                                                  ----------------------------------
                                                                  |               |                |
                                                               HOST     HOST    HOST

Não sei se da pra entender, hehehe, mas vamos explicar mais um pouco, é no nosso servidor Linux que compartilha a internet para a rede interna que será instalado o ArpON, e nele iremos colocar todos os IPs e MACs dos nossos clientes, assim quando algum usuário malicioso tentar fazer o arpspoof ele não ira conseguir completar, do alvo para o gateway ele vai conseguir pois não temos nenhuma proteção no cliente, mas quando ele tentar fazer do gateway para o alvo ele não vai conseguir pois o ArpON que esta no gateway irá bloquear, com isso impedimos o ataque e conseguimos ver qual é o usuário espertinho.

Bem vamos colocar a mão na massa.

Para instalar o ArpON:

# aptitude install arpon

Agora edite o arquivo de configuração do arpon:

# pico /etc/default/arpon

Descomente a linha:
DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -i eth1 -s"

OBS: Repare que existe um parâmetro nessa linha (-i eth1) que não haverá não arquivo de vocês, é porque no meu laboratório a interface da rede interna é eth1, caso a de vocês seja eth0 não é preciso colocar esse parâmetro.

E mude a linha:
RUN="no"

Para:
RUN="yes"

Agora precisamos cadastrar os IPs e MACs dos clientes.

# pico /etc/arpon.sarpi

Edite o arquivo da seguinte forma:

IP                            MAC
192.168.0.5         f5:f5:f5:f5:f5:f5

OBS: Faça a identação com tabulações.

Agora é só iniciar o ArpON:

# /etc/init.d/arpon start

E acompanhar os logs:

# tail –f /var/log/arpon/arpon.log

Pessoal é isso ai, espero que tenham curtido a dica e que usem, pois isso evita muitos problemas futures, até a próxima.
Postado por às
Marcadores: ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)