Relatório Sobre o Processo de Hardening em Servidores Contra o

Relatório Sobre o Processo de Hardening em Servidores
Contra o Ataque Man-in-the-Middle
Iremos abordar sobre a facilidade de se realizar ataques na camada de enlace
em uma rede. O foco principal é mostrar como se proteger desse tipo de ataque, o
ataque de Main-in-the-middle.
Falaremos também sobre a implementação de uma ferramenta que detecta e
bloqueia esse tipo de ataque. É importante deixar bem claro que realizamos esses
testes em ambiente virtualizado.
Então agora que nos sabemos a proporção desse tipo de ataque. Vamos
mostrar como se bloqueia esse tipo de ataque. Assim temos o melhor ataque contra e
melhor defesa.
Para esse tipo de implementação foi configurado maquinas virtuais. Utilizamos
o VMware Workstation 10 com dois sistemas operacionais. Utilizamos Kali Linux
tanto quanto para atacar como para se defender do, mais poderia ser utilizado
qualquer outro tipo de distribuição Linux.
Ferramentas utilizada para realizar o ataque :
Arpspoof
O arpspoof faz parte do pacote do Dsniff.
# aptitude install dsniff
O Arpon foi a ferramenta utilizada para realizar o bloqueio do ataque. Arpon é
um daemon manipulador portátil que faz o protocolo ARP seguro, a fim de evitar o
Man In The Middle. (MITM)
Para
maiores
duvidas
acompanhe
toda
a
pagina
do
http://arpon.sourceforge.net/ .
Endereço de rede – 192.168.1.10
Implementação do Arpon, vamos modificar o arquivo de configuração.
site
que
é,
Antes de iniciar o serviço, no arquivo de configuração tem algumas opções que devem
ser selecionadas de acordo com a configuração de sua rede:

A primeira é baseado em Sarpi ou "Static ARP Inspection", em redes
configuradas estaticamente sem dhcp.

A segunda em DARPI ou "Dinâmico ARP Inspection" em redes configuradas de
forma dinâmica com dhcp.

A terceira em Harpi ou "Híbrido ARP Inspection" em redes "híbridas", que estão
em estáticas e dinâmicas.
Depois de definir a configuração de acordo com a sua rede, modificamos a ultima linha
do arquivo de configuração. Onde o padrão é:
RUN=”no”
E logo depois de definir a configuração do arquivo colocaremos:
RUN=”yes”
autorizando a execução do serviço.
Utilizaremos o arpspoof, onde será enviado falsos pacotes para o nosso alvo. O
interessante é que o atacante estude cada parâmetro da ferramenta, para que seja
adequado a suas necessidades, pois o foco principal neste relatório não é explorar a
vulnerabilidade na rede em si, mas aprender a se defender do ataque.
#Arpspoof -i GATEWAY –t ALVO
A imagem acima mostra o momento que o atacante se faz passar como o gateway da
rede. Dessa forma fica fácil um atacante usar mais sofisticação ao ataque, como por
exemplo um seqüestro de conexão.
Com o arpon em execução, em outro ambiente podemos acompanhar o log para
sabermos se realmente o ataque esta sendo bloqueado.
Veja o log no momento do ataque:
Essa é apenas uma solução para realizar o bloqueio do arpspoof. Existe vários switch
gerenciáveis no mercado, em que se realiza a verificação das tabelas e consegue-se
bloquear também este tipo de ataque.