lunedì 27 luglio 2015

Configurare arpon in modalità SARPI

Arpon è un tool utile a prevenire alcuni attacchi quali ARP Sproofing, ARP Cache poisoning, ARP Poisoning Routing,  Sniffing, Hijacking e Injection in una LAN.

È possibile configurare arpon in una di queste tre modalità:

  • SARPI (Static ARP Inspection) modalità da applicare nel caso in cui i nodi abbiano indirizzi statici.
  • DARPI (Dynamic ARP Inspection) modalità da applicare nel caso in cui i nodi abbiano indirizzi dinamici (DHCP attivo)
  • HARPI (Hybrid ARP Inspection) da configurare nel caso in cui la rete ha sia indirizzi statici che dinamici.

  • Installiamo su debian (come root):
    apt-get install arpon
    

    Editiamo il file /etc/default/arpon attivando la modalità SARPI:
    # Defaults for arpon initscript
    # sourced by /etc/init.d/arpon
    # installed at /etc/default/arpon by the maintainer scripts
    
    
    # You must choose between static ARP inspection (SARPI) and
    # dynamic ARP inspection (DARPI)
    #
    # For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
    DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -s"
    
    # For DARPI uncomment the following line
    # DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -d"
    
    # Modify to RUN="yes" when you are ready
    RUN="yes"
    
    Scopriamo quali nodi fanno parte della nostra rete:
    arp -avn
    
    
    Con il comando sopra otteniamo una lista di ip e di mac address.
    
    Specifichiamo gli ip e i mac address della nostra rete inserendoli in /etc/arpon.sarpi (Esempio):
    
    192.168.1.1 E9:46:73:2C:67:A6
    192.168.1.4 05:3A:48:56:B7:A5
    192.168.1.9 2B:C4:0E:95:2A:DD
    
    
    Startiamo il demone.
    
    /etc/init.d/arpon start
    
    
    
    
    

    Siete già operativi per fare anti spoofing. Nel caso in cui vi servisse utilizzare l'ultimissima versione, trovate i sorgenti direttamente sul sito ufficiale:
    http://arpon.sourceforge.net


    Buon lavoro.