Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

Il protocollo ARP fornisce il MAC address del destinatario di un pacchetto a partire dall'indirizzo IP. Il protocollo non effettua nessun controllo per verificare che l'IP destinatario corrisponda effettivamente al PC a cui è assegnato quell'indirizzo MAC. Questa vulnerabilità del protocollo può essere sfruttata da malintenzionati, ad esempio, per disconnettere PC dalla rete.

ArpON (ARP handler inspection) è un servizio che rende sicuro il protocollo ARP in modo da evitare attacchi di tipo Man In The Middle, come ad esempio: ARP Sproofing, ARP Cache poisoning, ARP Poisoning Routing e attacchi derivati come Sniffing, Hijacking e Injection.

Tecniche di protezione

La protezione offerta da ArpON può avvenire per mezzo di tre tecniche differenti:

  • Static ARP Inspection (SARPI): utilizzato in reti prive di server DHCP, i cui client hanno quindi indirizzi IP fissi;

  • Dynamic ARP Inspection (DARPI): utilizzato in reti con server DHCP, i cui client hanno quindi indirizzi IP dinamici.

  • Hybrid ARP Inspection (HARPI): utilizzato in reti "ibride" con client collegati in rete tramite il servizio DHCP che attraverso indirizzi IP fissi.

Installazione

Da repository

Installare il pacchetto arpon.

Per proteggere tutta la rete è necessario installare ArpON su tutti i PC connessi. Viceversa, verranno protetti solo i PC sui quali è stato installato.

Da sorgente

Per utilizzare versioni superiori rispetto a quelle pacchettizzate per la versione di Ubuntu in uso o per utilizzare la tecnica HARPI è necessario procedere alla compilazione del sorgente del programma.

  • Verificare che i seguenti pacchetti siano installati al fine di soddisfare le dipendenze:
  • Scaricare l'archivio in formato .tar.gz dal seguente indirizzo e scompattarlo digitando il seguente comando in una finestra di terminale:

    tar -xzvf <nome file>
  • Spostarsi all'interno della cartella estratta e con privilegi di amministrazione digitare il seguente comando in una finestra di terminale:

    cmake ./

Configurazione

Il file di configurazione dell'applicazione è residente all'interno del file etc/default/arpon che conterrà (commentate) una serie di impostazioni predefinite.

Con privilegi di amministrazione modificare il file etc/default/arpon decommentando le righe che interessano.

Il file di configurazione predefinito è il seguente:

# Defaults for arpon initscript
# sourced by /etc/init.d/arpon
# installed at /etc/default/arpon by the maintainer scripts

# You must choose between static ARP inspection (SARPI) and
# dynamic ARP inspection (DARPI)
#
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -s"

# For DARPI uncomment the following line
# DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -d"

# Modify to RUN="yes" when you are ready
RUN="no"

Commentando o decommentando le seguenti righe

DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -s"
DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -d"

sarà possibile attivare alternativamente SARPI o DARPI.

Inoltre, al termine della configurazione, modificare la seguente riga

RUN="no"

in

RUN="yes"

Se si configura SARPI, modificare inoltre il file /etc/arpon.sarpi in base alla propria configurazione. Un esempio di tale file:

# Example of arpon.sarpi
#
        # Gw    
        #192.168.1.1     00:25:53:29:f6:69

        # Spyro virtual
        #172.16.159.1    0:50:56:c0:0:8
#

Riavviare il computer.

Provare ArpON con TuxCut

Le indicazioni riportate sono proposte solo a fini didattici e leciti, come, ad esempio, la prova di attacco ARP Sproofing sulla propria rete locale.

TuxCut è un programma che permette di disconnettere i computer dalla propria rete utilizzando un attacco ARP Sproofing. Con ArpON correttamente installato e configurato l'effetto di TuxCut sarà nullo.

Un PC non protetto, invece, non accederà invece più alla rete finché chi ha utilizzato TuxCut non lo riabiliti.

Installazione di TuxCut

  • Scaricare il pacchetto .deb dal seguente indirizzo;

  • Installare il pacchetto appena scaricato;

  • Per risolvere eventuali problemi di dipendenze digitare il seguente comando in una finestra di terminale

    sudo apt-get -f install

Utilizzo di TuxCut

  1. Da una macchina diversa da quella dove si ha installato ArpON, avviare TuxCut da Applicazioni → Accessori → TuxCut.

  2. Selezionare quindi il PC che si desidera disconnettere, e premere su "cut".
  3. Provare ad utilizzare la rete dal computer oggetto di attacco:
    • Se ArpON non è installato, non sarà possibile connettersi;

    • Se ArpON è correttamente installato e configurato, l'attacco lanciato con TuxCut non sarà andato a buon fine e sarà possibile utilizzare la rete..

Ulteriori risorse


CategorySicurezza CategoryDaRevisionare