domingo, 11 de agosto de 2013

Rutas estáticas ARP para evitar ataques: ARP spoofing, ARP Poisoning MITM

El ARP Poisoning ó ARP Spoofing,  es una de las técnicas para realizar un ataque MITM. (leer más sobre el ataque: AQUI )

Con estos pocos pasos vamos a poder dificultar  a nuestro agresor que nos haga un ataque de este tipo, estableciendo tablas ARP estáticas.

En las distribuciones Linux tenemos el comando arp -a para ver las direcciones IP y MAC asociadas a la red. Es muy importante saber identificar cuando algo raro está sucediendo en la red a la cual estamos conectados, si en la ejecución del comando arp -a nos muestra una dirección MAC repedita, puede estar ocurriendo algo (Nos están atacando).

Para evitar que nos estén redirigiendo a voluntad del atacante, podemos establecer rutas estáticas en nuestro equipo, de esta manera le dificultará en gran medida la tarea:

arp -s 192.168.1.1 f4:ec:38:d0:87:16

También puedes especificar a cual interfaz de red está asociada:

arp -s 192.168.1.1 f4:ec:38:d0:87:16 -i wlan0

arp  es el comando usado.
-s es el parámetro que le pasaremos para setear una nueva entrada ARP.

Luego le pasamos la dirección IP y MAC (Que sería la del modem/router o correspondiente), Aunque el comando anteriormente explicado es de seteo temporal, y se borrará luego de el primer reinicio de nuestro equipo, si queremos hacer cambios permanentes en el equipo, haremos lo siguiente:


Crearemos un fichero de texto sencillo con la dirección MAC e IP, en caso de ser varias, una por línea, y lo guardamos.

Luego modificaremos el archivo /etc/network/interfaces y añadiremos al final:

post-up /usr/sbin/arp -f RUTA-DE-NUESTRO-FICHERO

Lo que hace el parámetro -f es leer nuevas entradas desde un fichero de texto. Al añadir el comando al final de /etc/network/interfaces una vez la red sea levantada, el comando se ejecuta, seteando laARP, y así cada vez.
Obviamente nada es 100% seguro, pero con este pequeño procedimiento le daremos un par de dolores de cabeza de más al que intente jodernos, por lo menos no le damos el plato servido.


COMO BORRAR RUTAS ESTATICAS

Si en dado caso te equivocaste, o tienes la necesidad de borrar algunas de las rutas que estableciste puedes hacerlo de la siguiente manera:

arp -d 192.168.1.1


Si obtienes un error “SIOCDARP(pub): No such file or directory”, probablemente necesites darle al comando algunos argumentos extra,  y especificar la interfaz de red asociada al equipo:

arp -d 192.168.1.1 -i wlan0


Espero les sirva este howto, para protegerse en lugares públicos.

3 comentarios:

Miguel Ángel García dijo...

Buen post ;)

Una medida de seguridad más para protegerte de ataques MITM en casa, sin embargo el problema está cuando cambias de red, por ejemplo en el caso de un portátil que está usando la red WiFi de casa con estas reglas pero luego debes llevarlo a la oficina, a una biblioteca, etc, ya que deberías deshacer el proceso de manera manual.

Un saludo!

villatux dijo...

Así es Miguel, se puede hacer un pequeño script para solucionar eso, que acepte parámetros como "./script.sh start / stop" y con eso sería más sencillo. :)

Juan José R. Villanueva dijo...

Al iniciar el sistema no cambia nada, solo me funciona introduciendo manualmente el comando :l