Cuando nos encontramos en redes extrañas no administradas por nosotros mismos , nos podemos encontrar en una situación en la cual podemos ser víctimas de un ataque Man In the Middle (MitM), cosa no tan extraña como pueda parecer ya que existen multitud de aplicaciones para sistemas operativos y sistemas operativos móviles con interfaz para los usuarios lamers (se creen algo por hacer dos clic).
Para securizar este aspecto podríamos estar hablando largo y tendido sobre cifrados , VPN ,etc... pero en este caso vamos a hablar de ArpON. ArpON nos va ayudar a securizarnos contra los MITM, este detectará y bloqueará de ataques de Sniffing, Hijacking, Injection, Filtering y ataques mas complejos y derivados como DNS Spoofing, WEB Spoofing, Session Hijacking y SSL/TLS Hijackting.
ArpON esta preparado para funcionar como un demonio en nuestro sistema, pero también lo podemos usar de manera puntual. Esta disponible para Linux, FreeBSD, OpenBSD, NetBSD, Mac OS X.
Tenemos que comentar que para un perfecto funcionamiento de ArpON este tendría que estar implementado en todas nuestras máquinas. ArpON implementa una series de algoritmos como son los tres siguiente que según el entorno en el que vayamos a estar usaremos.
- SARPI (Static ARP inspection): Redes sin DHCP. Utiliza una lista estática de entradas y no permite modificaciones.
- DARPI (Dynamic ARP inspection): Redes con DHCP. Realiza un control de las peticiones ARP.
- HARPI - Hybrid ARP inspection: Redes con o sin DHCP. Usa los dos tipos en el mismo tiempo.
Para instalarlo podemos disponer de el a través de su pagina web o a través de los repositorios.
sudo apt-get install arpon
Una vez tenemos instalado vamos a configuralo de una sola manera. En este caso pensando en la mayoría de los usuarios que usan redes ajenas, usan redes con DHCP y muy pocas veces usan direccionamiento estático. Para ello la configuración sera entorno al algoritmo DARPI(Dynamic ARP inspection) y editaremos el fichero '/etc/default/arpon' y para ello descomentaremos la líneas(aquí dejamos habilitado el log como también podemos habilitar el demonio al inicio):
# For DARPI uncomment the following line
DAEMON_OPTS ="q f /var/log/arpon/arpon.log g d"
# Modify to RUN="yes" when you are ready
RUN="yes" Ahora crearemos un script arrancar el demonio en un terminal y al mismo tiempo
podremos ver lo que va ocurriendo.
#!/bin/bash
if [ $# ne 1 ]; then
echo "Help: enablearpon interface"
echo " Ex: enablearpon eth0"
else
/usr/sbin/arpon f /var/log/arpon/arpon.log g d i $1
fi
Como cualquier script le damos permisos de ejecución con el comando 'chmod +x' y lo ejecutamos con la orden 'sudo ./[nombre_del_script].sh [interfaz]' ( se han censurado las direcciones mac).
Por último veremos como securizamos con SARPI (Static ARP inspection) para redes sin DHCP, para ello usaremos otro script.
#!/bin/bash
if [ $# ne 1 ]; then
echo "Help: enablearpon interface"
echo " Ex: enablearpon eth0"
else
/usr/sbin/arpon f /var/log/arpon/arpon_sarpi.log g s i $1
fi
Como en el script anterior volvemos a dar permisos de ejecución 'chmod +x' y lo ejecutamos con la orden 'sudo ./[nombre_del_script].sh [interfaz]'.
