Filtrando Tráfico ARP – Protegiéndonos de ARP Spoofing

Fuente: http://jsitech.com/linux/filtrando-trafico-arp-protegiendonos-de-arp-spoofing/ En un post anterior les hablaba de una herramienta que nos ayudaba a detectar un posible ataque con ARP Spoofing llamado Arpwatch, pero no detenía en si el ataque, sino, que nos alertaba y podíamos tomar las medidas de lugar. Hoy les voy a hablar de una herramienta que nos ayuda a filtrar el tráfico ARP y fue desarrollada para evitar el ARP Spoofing, esta es ArpTables. ArpTables es una herramienta que nos ayuda a administrar las reglas de filtrados de los paquetes ARP en el módulo de Iptables, Nos permite crear, actualizar y visualizar las reglas muy parecido a iptables. Como lo instalamos en Linux? Vamos a ejecutar estos comandos como root, Debian/Ubuntu # apt-get update # apt-get install arptables CentOS/Fedora/RHEL # yum install arptables Ahora vamos a ver como cultura general las diferentes opciones de arptables, [email protected]:~# arptables -h arptables v0.0.3.4 Usage: arptables - chain rule-specification arptables - chain rulenum rule-specification arptables -D chain rulenum arptables - arptables - chain arptables -E old-chain-name new-chain-name arptables -P chain target arptables -h (print this help information) Commands: Either long or short options are allowed. –append -A chain Append to chain –delete -D chain Delete matching rule from chain –delete -D chain rulenum Delete rule rulenum (1 = first) from chain –insert -I chain Insert in chain as rulenum (default 1=first) –replace -R chain rulenum Replace rule rulenum (1 = first) in chain –list -L List the rules in a chain or all chains –flush -F Delete all rules in chain or all chains –zero -Z Zero counters in chain or all chains –new -N chain Create a new user-defined chain –delete-chain -X Delete a user-defined chain –policy -P chain target Change policy on chain to target –rename-chain -E old-chain new-chain Change chain name, (moving any references) Options: –source-ip -s [!] address source specification –destination-ip -d [!] address destination specification –source-mac [!] address –destination-mac [!] address –h-length -l length hardware length (nr of bytes) –opcode code operation code (2 bytes) –h-type type hardware type (2 bytes, hexadecimal) –proto-type type protocol type (2 bytes) –in-interface -i [!] input name[+] network interface name ([+] for wildcard) –out-interface -o [!] output name[+] network interface name ([+] for wildcard) –jump -j target target for rule (may load target extension) –match -m match extended match (may load extension) –numeric -n numeric output of addresses and ports –table -t table table to manipulate (default: `filter’) –verbose -v verbose mode –line-numbers print line numbers when listing –exact -x expand numbers (display exact values) –modprobe= try to insert modules using this command –set-counters PKTS BYTES set the counter during insert/append [!] –version -V print package version. opcode strings: 1 = Request 2 = Reply 3 = Request_Reverse 4 = Reply_Reverse 5 = DRARP_Request 6 = DRARP_Reply 7 = DRARP_Error 8 = InARP_Request 9 = ARP_NAK hardware type string: 1 = Ethernet protocol type string: 0x800 = IPv4 Standard v0.0.3.4 options: (If target is DROP, ACCEPT, RETURN or nothing) mangle target v0.0.3.4 options: –mangle-ip-s IP address –mangle-ip-d IP address –mangle-mac-s MAC address –mangle-mac-d MAC address –mangle-target target (DROP, CONTINUE or ACCEPT — default is ACCEPT) Si nos fijamos tendremos algo muy parecido a las opciones de Iptables. Vamos a ver ahora como podemos bloquear el tráfico ARP de un equipo que sabemos que es malicioso, vamos sin configurar reglas, a intentar un ataque MITM a nuestro equipo y ver como cambia la tabla ARP. Tendremos VM con Ubuntu – IP 10.0.0.12 VM con Kali Linux (Atacante) – IP 10.0.0.13 Gateway IP 10.0.0.1 Confirmamos que no tenemos reglas Confirmamos nuestra tabla ARP Vamos a ejecutar el ataque en nuestra pc atacante Ahora vemos la tabla arp nuevamente, Fijense que tenemos 2 ip con la misma dirección de red, esto nos da la alerta de un ARP Spoofing. Nuestro tráfico esta siendo dirigido a otra pc antes de llegar a su destino. Como evitamos esto con arptables? Si conocemos la Dirección de red atacante pues podemos bloquearla para que no nos vuelva a atacar # arptables -A INPUT –source-mac 08:00:27:0a:4f:c5 -j Drop Podemos tambien ser un poco mas estrictos y solo aceptar paquetes ARP de nuestro Gateway o Equipos específicos, para esto: Denegamos el tráfico ARP de todos los dispositivos # arptables -P INPUT DROP Permitimos el tráfico del equipo que deseamos, en este caso será mi gateway o cualquier equipo que considere confiable, # arptables -A INPUT –source-mac bc:c8:10:ac:2f:29 -j ACCEPT En mi caso solo permití el tráfico desde mi gateway, vamos a ver que pasa si intento ejecutar el ataque nuevamente. Confirmamos que las reglas estan, Confirmo mi tabla ARP Vamos a ejecutar el ataque, Volvemos a nuestra pc y confirmamos la tabla, Fijense que no cambio, Si desean aceptar todo el tráfico ARP o borrar las reglas simplemente deben ejecutar, # arptables –flush Pueden indagar mas sobre la herramienta usando los man pages. Es una herramienta que no debe faltar en nuestros equipo personales y más cuando acostumbramos a conectarnos en Redes públicas.