!ArpON 2.0 Released
כולנו מכירים את המתקפה Arp Poisoning וכולנו יודעים עד כמה פשוטה היא לביצוע בעזרת הכלים הנכונים (למשל
בעזרת כלי כמו: Cain & Able ניתן לבצע את המתקפה בפחות מעשרה "קליקים"). בנוסף, כולנו יודעים עד כמה
הרשת הפנים-ארגונית של הרבה מאוד ארגונים בארץ פגיעים אליה.
קיימים מספר רכיבי רשת המאפשרים לנו להגן על רשת מפני מתקפה כזאת ומתקפות Routing אחרות, ובעזרת
קינפוג נכון הם גם יכולים לבצע זאת באופן יעיל ביותר. אבל עדיין- העובדה היא שלא חסר ארגונים, גדולים וקטנים
כאחד שלא מצויידים ברכיבים כאלה/פגיעים למתקפות אלו ואחרות.
ראיתי היום פרסום ברשימת התפוצה של Bugtraq של בחור בשם Andrea Di Pasquale (כינוי: spikey_it) שכתב
כלי בשם ArpON (שזה איכשהוא קיצור/מזכיר של "Arp handler inspectiON"), שתפקידו לאבטח את כל העניין של
רשימות ה-ARP ואיך שהוא מנוהל, בפרסום נכתב שהיום שוחררה הגרסה 2.0 של הכלי. (מסתבר שהגרסה הראשונה
שוחררה עוד ב-2008!) עוד לא יצא לי לבדוק את הכלי הזה, אך אני בהחלט אעשה את זה גם מפני שפעם חשבתי
לממש פתרון דומה, וגם מפני שמדובר ביוזמה ברוכה ביותר. הכלי מסוגל לאבטח את פרוטוקול ה-ARP בשני דרכים
שונות:
- SARPI - Static ARP Inspection
- DARPI - Dynamic ARP Inspection
הרעיון הוא כמובן לממש פתרון מאובטח לפרוטוקול מבלי לפגוע ב"זרימת" התחברות המחשבים לרשת (מבלי שבכל
פעם, כל מחשב שמתחבר לרשת יאלץ לבצע הזדהות מול כלל המחשבים באירגון בכדי לעדכן אצלם את טבלאות
ה-ARP) והפתרון הזה מבצע זאת באופן כזה.
דברים מעניינים שיש בגרסה הנוכחית:
- It replaces Arpwatch & co; ArpON blocks;
- It detects and blocks Arp Poisoning/Spoofing attacks in statically configured networks;
- It detects and blocks Arp Poisoning/Spoofing attacks in dinamically configured (DHCP) networks;
- It detects and blocks unidirectional and bidirectional attacks;
- It manages the network interface into unplug, boot, hibernation and suspension OS features;
- Easily configurable via command line switches, provided that you have root permissions;
- It works in userspace for OS portability reasons;
- Tested against Ettercap, Cain & Abel, dsniff and other tools.
אני לא ארחיב כאן יותר מדי, אבל בקישור הבא ניתן להבין איך כל הרעיון עובד (גם SARPI וגם DARPI):
הכלי חינמי ומופץ בקוד פתוח, וניתן להשיג אותו דרך השרתים של SourceForge בעמוד הבית של ArpON
בקישור הבא:
תגובות על '!ArpON 2.0 Released':
#1 |
inHaze (אורח): אחלה כלי! בהחלט שימושי. רק חבל שהוא לא עובד גם על Windows. 09.06.2010 08:57:07 | |
#2 |
cp77fk4r: יאפ', ולאחר בדיקה- כלי מומלץ ופשוט ביותר. למי שמעוניין, ה-Man: https://arpon.sourceforge.net/manpage.html 09.06.2010 11:10:11 | |
#3 |
m1ch43l1014 (אורח): אחלה סיקור תודה אני אנסה את הכלי. 09.06.2010 13:57:29 | |
#4 |
anonymous (אורח): אפשר גם arpwatch :] 19.06.2010 02:16:26 | |
#5 |
cp77fk4r: אני טועה או ש-Arpwatch נועד רק למטרות Monitoring ולא למניעת מתקפות כאלה? למיטב ידיעתי הכלי לא מונע מתקפות כאלה אלה רק מבצע מעקב ואיסוף לוגים.. 21.06.2010 12:10:18 |
הוסף את תגובתך: