כולנו מכירים את המתקפה Arp Poisoning וכולנו יודעים עד כמה פשוטה היא לביצוע בעזרת הכלים הנכונים (למשל בעזרת כלי כמו: Cain & Able ניתן לבצע את המתקפה בפחות מעשרה “קליקים”). בנוסף, כולנו יודעים עד כמה הרשת הפנים-ארגונית של הרבה מאוד ארגונים בארץ פגיעים אליה.

קיימים מספר רכיבי רשת המאפשרים לנו להגן על רשת מפני מתקפה כזאת ומתקפות Routing אחרות, ובעזרת קינפוג נכון הם גם יכולים לבצע זאת באופן יעיל ביותר. אבל עדיין- העובדה היא שלא חסר ארגונים, גדולים וקטנים כאחד שלא מצויידים ברכיבים כאלה/פגיעים למתקפות אלו ואחרות.

ראיתי היום פרסום ברשימת התפוצה של Bugtraq של בחור בשם Andrea Di Pasquale (כינוי: spikey_it) שכתב כלי בשם ArpON (שזה איכשהוא קיצור/מזכיר של “Arp handler inspectiON”), שתפקידו לאבטח את כל העניין של רשימות ה-ARP ואיך שהוא מנוהל, בפרסום נכתב שהיום שוחררה הגרסה 2.0 של הכלי. (מסתבר שהגרסה הראשונה שוחררה עוד ב-2008!) עוד לא יצא לי לבדוק את הכלי הזה, אך אני בהחלט אעשה את זה גם מפני שפעם חשבתי לממש פתרון דומה, וגם מפני שמדובר ביוזמה ברוכה ביותר. הכלי מסוגל לאבטח את פרוטוקול ה-ARP בשני דרכים שונות:

  • SARPI - Static ARP Inspection
  • DARPI - Dynamic ARP Inspection

הרעיון הוא כמובן לממש פתרון מאובטח לפרוטוקול מבלי לפגוע ב”זרימת” התחברות המחשבים לרשת (מבלי שבכל פעם, כל מחשב שמתחבר לרשת יאלץ לבצע הזדהות מול כלל המחשבים באירגון בכדי לעדכן אצלם את טבלאות ה-ARP) והפתרון הזה מבצע זאת באופן כזה.

דברים מעניינים שיש בגרסה הנוכחית:

  • It replaces Arpwatch & co; ArpON blocks;
  • It detects and blocks Arp Poisoning/Spoofing attacks in statically configured networks;
  • It detects and blocks Arp Poisoning/Spoofing attacks in dinamically configured (DHCP) networks;
  • It detects and blocks unidirectional and bidirectional attacks;
  • It manages the network interface into unplug, boot, hibernation and suspension OS features;
  • Easily configurable via command line switches, provided that you have root permissions;
  • It works in userspace for OS portability reasons;
  • Tested against Ettercap, Cain & Abel, dsniff and other tools.

אני לא ארחיב כאן יותר מדי, אבל בקישור הבא ניתן להבין איך כל הרעיון עובד (גם SARPI וגם DARPI): http://arpon.sourceforge.net/documentation.html

הכלי חינמי ומופץ בקוד פתוח, וניתן להשיג אותו דרך השרתים של SourceForge בעמוד הבית של ArpON בקישור הבא: http://sourceforge.net/projects/arpon