-arp spoofins

-dns spocfins -ma inthe middle

-echelon Os slides esto no blog do Regis: => http://fortium.edu.br/blog/regis_jaruzo/ Sobre materiais, tem alguns aqui: A) Tcnicas de proteo contra: - ARP Spoofing/Poisoning: => http://joseeuripedes.reimacpecas.com.br/arp_poisoning.php (Monitorao com arpwatch) => http://www.hardware.com.br/livros/redes/arp -poisoning-mac-flooding.html => http://www.vivaolinux.com.br/artigo/ARP-Poisoning-compreenda-os-principios-e-defendase?pagina=6 (bem completinho) - DNS Spoofing/Poisoning: => http://registro.br/suporte/faq/faq8.html (Uso de DNS Sec) - MITM em SSL: => http://www.administradores.com.br/informe-se/informativo/confira-recomendacoes-sobre-como-se-proteger-deataques-man-in-the-middle/21931/ (Algumas questes comportamentais). => A soluo aqui consiste basicamente em uso de infra-estrutura de PKI com certificados: ==> http://www.itcentral.com.br/default.asp?ACT=5&content=209&id=18&mnu=18 ==> http://daibert.net/uploads/palestras/IVCONISLI_PKI_DAIBERT.pdf ==> http://web.fe.up.pt/~jmcruz/ssi/trabs -als/final/G03.T01-autoridade.certificacao-rel.final.pdf

TUTORIAL Princpios do ARP Poisoning e deteco com Arpwatch

por Jnatas Lopes de Paiva e Jos Eurpedes Ferreira de J. Filho

1. MAC - Media Access Control

Todos os pontos de uma rede de computadores hospedeiros ou roteadores possuem um endereo fsico nico chamado MAC. Este endereo gravado pelo fabricante em uma memria permanente da placa de rede (inclusive as placas de rede sem fio). Imagine que voc deseja enviar uma carta a um amigo que mora em outra cidade. Naturalmente, voc escreve a carta e a coloca e um envelope m que contm o seu endereo e o endereo do seu amigo. Este envelope ento levado aos correios de sua cidade. A agncia de sua cidade encaminha o envelope para a agncia da cidade de seu amigo, que por sua vez entrega o envelope ao destino final. Neste exemplo, a carta seria os dados da mensagem, o envelope seria o protocolo utilizado, o nome do seu amigo seria o IP, os endereos seriam os MACs dos computadores e os correios seriam os roteadores da rede.

2. ARP - Adress Resolution Protocol

Como

um

computador

sabe

endereo

MAC

de

outro

computador?

O ARP um protocolo (envelope) para resoluo de endereos MAC. Utilizando -se do exemplo anterior, imagine que voc no saiba o endereo de seu amigo. Supondo que voc possua uma boa agenda telefnica, descobrir o endereo no seria grande dificuldade, pois a partir do nome de se u amigo voc obteria facilmente o endereo. A descoberta do endereo MAC funciona de maneira muito parecida. O computador que deseja enviar a mensagem possui uma tabela de endereos (agenda) chamada ARP cache. O ARP cache vincula o endereo IP (nome d o seu amigo) ao MAC correspondente (endereo).

Figura 1 Ilustrao de ARP Cache

3. ARP Poisoning e MITM

Quando o computador que deseja enviar a mensagem procura um IP em sua tabela ARP e no o encontra, ele envia uma requisio d o endereo para todos os computadores da rede. O computador que possuir o IP solicitado responde a mensagem indicando que o IP seu e ento o adicionado Assim, um endereo na ataque de tabela ARP MAC ARP. Poisoning consiste A em este modificar Man a adicionado ato tabela damos ARP In de um na o nome se tabela de passando ARP. Poisoning. por outro. Middle. Quando uma falsa resposta dada, um endereo MAC associado a u m IP que na realidade no o seu correspondente e ento computador The

Utilizando-se desta tcnica, uma pessoa pode conseguir desviar mensagens que seriam destinadas a outro computador para o seu. Isto conhecido como O computador destinatrio no tem conhecimento do ataque, pois aps a mensagem ser desviada ela ento encaminhada para o verdadeiro destino, dando a falsa impresso na rede de que o fluxo de dados est correto.

Figura 2 Ilustrao de ARP Poisoning e MITM

4. Arpwatch

O Arpwatch um programa de monitorao da tabela ARP em uma rede. A partir de uma cpia da tabela que ele mantm armazenada, este software de vigilncia consegue detectar qualquer alterao no ARP cache. Ao detectar alguma mudana na tabela, o Arpwatch gera relatrios e pode enviar mensagens de aviso por e-mail.

4.1. Instao

Faa A biblioteca de

o funes libpcap

download necessria para o

do funcionamento do

Arpwatch Arpwatch. Voc pode

no encontr -la no

link: endereo:

ftp://ftp.ee.lbl.gov/arpwatch.tar.gz . http://sourceforge.net/project/downloading.php?group_id=53067&filename=libpcap-0.8.1.tar.gz&a=76838529.

4.2. Configurando

Tomando como base a distribuio Linux OpenSUSE 11.0 e aps a instalao correta do Arpwatch, voc deve criar um arquivo vazi o chamado arp.dat no diretrio /var/lib/arpwatch. Este arquivo ser usado como base de dados em que o software mantm a cpia da tabela ARP. Aps a criao do arquivo, inicie o utilitrio arpwatch com o comando:

# arpwatch i eth0

Onde,

-i

indica

que

arquivo

arp.dat

ser

sobrescrito

eth0

nome

da

rede.

Outras opes podem ser utilizadas:

-f:

Para

mudar

local

do

arquivo

de

base

de

dados.

-n: Para especificar redes locais adicionais.

Agora abra o arquivo arpwatch que se encontra no diretrio /etc/sysconfig. Na linha OPTIONS="-u pcap -e root -s 'root (Arpwatch)'" altere

para:

OPTIONS="-u pcap -e usuario@dominio.com -s 'root (Arpwatch)'"

Onde pcap indica sobre qual usurio o Arpwatch rodar, usurio@dominio.com o endereo de e -mail que o programa enviar as mensagens Caso o de alerta arquivo no e Arpwatch possua uma indica linha o semelhante nome a do citada, remetente basta inserir do no e-mail. final.

Depois do arquivo ser configurado, inicie a aplicao no diretrio /etc/init.d com o comando:

# arpwatch start

Caso este comando no funcione, utilize:

# rcarpwatch start

4.3. Mensagens de Logs e Alertas

Todas

as

mudanas

detectadas

pelo

Arpwatch

iro

aparecer

no

arquivo

messages

do

diretrio

/var/log.

Alguns exemplos de mensagens que podem ser encontradas neste arquivo so:

May

28

21:46:43

linux-bphc

arpwatch:

flip

flop

192.168.0.1

0:18

e:4b:80:71

(0:1b:11

3:8f:3b)

May 28 21:47:23 linux-bphc arpwatch: MAC mismatch (eth) 192.168.0.1 0:18 e:4b:80:71 (0:1b:11 3:8f:3b) May 28 21:48:18 linux-bphc arpwatch: flip flop 192.168.0.1 0:1b:11 3:8f:3b (0:18 e:4b:80:71)

Um exemplo de e-mail enviado pelo Arpwatch seria:

From Return-Path: Received: by for Received:

pcap@localhost.localdomain from

Sat

May

13

22:10:16

2006 [127.0.0.1])

<pcap@localhost.localdomain> localhost.localdomain (8.13.1/8.13.1) Sat, (from by for localhost.localdomain root; Sat, 13 Sat, 13 May root@localhost.localdomain (8.13.1/8.13.1/Submit) May 2006 2006 id 22:10:16 with 13 (localhost.localdomain ESMTP May 2006 id 22:10:16 localhost.localdomain k4DDAGSL004139 +0900 pcap@localhost) k4DDAG4U004133 22:10:16 +0900 +0900 (Arpwatch) root@localhost.localdomain

<root@localhost.localdomain>;

Date: Message-Id: From: To:

<200605131310.k4DDAG4U004133@localhost.localdomain>

Subject: new station

hostname: ip ethernet ethernet vendor: timestamp: Saturday, May 13, 2006 22:10:16 +0900 address: address: 3COM

<unknown> 192.168.1.4 0:10:5a:4:14:63 CORPORATION

5. Concluso

A ARP

monitorao Poisoning

de

redes

uma

tarefa

de

extrema de

importncia desvio do

para fluxo

garantia de

de dados,

uma

melhor o

segurana. MITM.

O ARP Poisoning uma tcnica simples de ser executada e a maioria dos sistemas operacionais vulnervel a este tipo de ataque. Com o podemos aplicar ataques como Ferramentas de vigilncia, como o Arpwatch, auxiliam de forma efetiva na monitorao do ARP cache. Desta forma a deteco de possveis ataques, de riscos e at mesmo de mudanas no comportamento da rede se torna mais fcil para o responsvel pela segurana do sistema. Outras ferramentas similares ao Arpwatch so: ArpON e o XArp.

6. Referncias

Redes

de

Computadores

Internet;

Ed.;

Kurose

J.

F.,

Ross

K.

W.

- http://www.novell.com/communities/node/4971/detecting-arp-poisoning-attacks - http://www.madeira.eng.br/wiki/index.php?page=Arpwatch - http://www.ksknet.net/linux/arpwatch.html - http://imasters.uol.com.br/artigo/7713/seguranca/arpwatch_-_detecte_em_sua_rede_ataques_de_arp_spoofingarp_poisoning/ - http://www.vivaolinux.com.br/artigo/ARP-Poisoning-compreenda-os-principios-e-defendase

Webtutoriais:44C6BB5C