ETTERCAP - Tutorialul usor - Contramăsuri

Ettercap Contramăsuri
Ultima Actualizare: Feb 04 2008


Tool
Install
Ergonomy
Forum



Detalii What is Ettercap?
Prerequisites & Installation
ARP Poisoning
"Man in the middle" attacks
Statistics
Countermeasures

Romanian translation by Bogdan Alexandru Costea.



⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!


Lupta împotriva atacurilor de tip otrăvire ARP nu este o sarcină uşoară deoarece protocolul ARP nu ofer posibilitatea de a autentifica sursa pachetelor primite.
În ciuda acestui fapt în continuare puteţi găsi câteva modalităţi de protejare a maşinilor împotriva atacatorilor.

1. STATIC ARP 2. UNELTE DE MONITORIZARE 3. SECURITATEA PORTURILOR 4. CONCLUZIE



1. STATIC ARP

Utilizarea ARP STATIC se referă la configurarea manuală a mapărilor IP-MAC.

Maşină Windows

C:\Documents and Settings\administrator>arp -s 192.168.1.1   11-22-33-44-11-11
Vizualizarea tabelului ARP:

C:\Documents and Settings\administrator>arp -a
Interface : 192.168.1.2 --- 0x2
Internet Address
192.168.1.1
192.168.1.100
Physical Address
11-22-33-44-11-11
11-22-33-44-99-99
Type
static
dynamic
Maşină Linux

#arp -s 192.168.1.1 11:22:33:44:11:11
Vizualizarea tabelului ARP:

#arp
Address
192.168.1.1
HWtype
ether
HWaddress
11:22:33:44:11:11
Flags Mask
CM
Iface
eth0
Router CISCO

router#configure terminal
router(config)#arp 192.168.1.2 1122.3344.5566 ARPA
Crearea mapărilor de adrese statice IP-MAC previn otrăvirea ARP dar are două mari dezavantaje:
-
 
-
Generează muncă suplimentară pentru administrator şi nu este aplicabilă în locaţiile unde utilizatorii se mută cu laptopul.
Nu va preveni alte tipuri de atac ARP, un exemplu fiind furtul de porturi.
Inceputul paginii



2. UNELTE DE MONITORIZARE

Arpwatch

Arpwatch este o unealtă pentru monitorizarea activităţii ARP în cadrul reţelei şi în particular monitorizarea modificărilor în asocierile IP-MAC. Din acest motiv poate ajuta în detectarea atacurilor de tip ARP spoofing şi poate alerta administratorul prin email în cazul activităţilor suspicioase(referite în Arpwatch ca flip-flop).

#apt-get install arpwatch
Implicit, Arpwatch trimite logurile în /var/log/syslog, şi se poate utiliza "tail /var/log/syslog" pentru a vizualiza logurile în timp real.
Această setare este stocată în fişierul /etc/arpwatch.conf.

Ettercap

Instalarea ettercap în mod grafic:

#apt-get install ettercap-gtk
Lansarea ettercap în mod grafic:

#ettercap -G
Sniff -> Unified sniffing...
Unified sniffing sniff man in the middle attack openmaniak ettercap
Unified sniffing sniff man in the middle attack  openmaniak ettercap
 
 
 
 
 

Plugins -> Manage the plugins
Faceţi click pe arp_corp pentru a activa plugin-ul.

Manage the plugins plugins man in the middle attack  openmaniak ettercap

Start -> Start Sniffing
Start Sniffing  start man in the middle attack  openmaniak ettercap

Snort IDS

Un sistem de tip IDS(Intrusion Detection System) ca Snort IDS poate detecta activităţi anormale şi trimite email pentru a notifica administratorul.

Inceputul paginii



3. SECURITATEA PORTURILOR

Securitatea porturilor este o funcţie disponibilă pe switch-urile high end.
Permite numai dispozitivelor cu anumite adrese MAC conectarea la porturile switch-urilor şi în cazul unei maşini neautorizate switch-ul poate acţiona şi avertiza administratorul cu ajutorul unui trap SNMP sau poate opri imediat portul respectiv.

Mai jos poate fi găsit un exemplu cu un switch Cisco în care primul port (FastEthernet 0/1) este configurat cu securitatea porturilor.
Port-ul switch-ului va accepta numai o adresa MAC, acea adresa identificata prima de către port-ul respectiv(prin utilizarea keywor-ului sticky). Daca port-ul va primi altă adresă MAC se va închide automat.

Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown
După configurarea switch-ului, introducem un dispozitiv cu adresa MAC 1122.3344.5566 în portul FastEthernet 0/1, după care acesta nu va mai accepta altă adresă MAC.

Switch# show port-security
Secure Port   MaxSecureAddr   CurrentAddr   SecurityViolation   Security Action
                         (Count)          (Count)            (Count)
---------------------------------------------------------------------------
   Fa1/0/1               1                    1                    0          Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272

Switch# show port-security interface FastEthernet 0/1
Port Security
Port Status
Violation Mode
Aging Time
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count
:
:
:
:
:
:
:
:
:
:
:
:
Enabled
Secure-up
Shutdown
0 mins
Absolute
Disabled
1
1
0
1
1122.3344.5566:1
0
Switch#show port-security address
          Secure Mac Address Table
----------------------------------------------------------------------------
Vlan    Mac Address        Type                  Ports            Remaining Age
                                                                              (mins)
----    -----------          ----                    -----          -------------
1        1122.3344.5566    SecureSticky        Fa0/1              -
----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272


Deconectăm dispozitivul curent(MAC: 1122.3344.5566) şi introducem un alt dispozitiv (MAC: 1122.3344.9999). Cum poate fi văzut mai jos, switch-ul va opri portul şi va seta un status de err-disabled..

Switch# show port-security interface FastEthernet 0/1
Port Security
Port Status
Violation Mode
Aging Time
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count
:
:
:
:
:
:
:
:
:
:
:
:
Enabled
Secure-down
Shutdown
0 mins
Absolute
Disabled
1
1
0
1
1122.3344.9999:1
0
Switch#show logging
00:06:28:
 
00:06:28
 
00:06:29:
 
00:06:30:
%PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1122.3344.9999 on port FastEthernet0/1.
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
Switch#show interfaces status | include 0/1
Port
-------
Fa0/1
Name
------------------
 
Status
------------
err-disabled
Vlan
--------
1
Duplex
------
auto
Speed
-------
auto
Type
----
10/100BaseTX
Pentru a reactiva portul aflat în stare err-dizabled se utilizează comanda:

Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
Securitatea porturilor nu va preveni atacurile de tip ARP spoofing dar va opri atacatorii să se conecteze la reţea.



4. CONCLUZIE

Nu există nici o soluţie miraculoasă de a lupta împotriva ARP spoofing dar sugestiile de mai jos pot ajuta semnificativ prin prevenirea conectării la reţea sau prin monitorizarea acesteia.
-
 
-
Restricţia conectării la reţea prin securitatea porturilor sau protocol 802.1x, unde o maşină este autorizată numai dacă este acceptată de un server RADIUS.
Unelte de monitorizare a reţelei sau IDS.

Inceputul paginii