ARPFreeze facilite la protection de Microsoft Windows contre l'ARP Poisonning et les Man in the Middle

Par Xavier Poli, secuobs.com
Le 08/06/2009

---

Résumé : ARPFreeze permet d'éditer de façon simplifiée et persistante la table ARP statique des systèmes Microsoft Windows afin de lutter contre les attaques par empoisonnement de cache ARP qui sont utilisées pour réaliser les attaques dites de Man In The Middle. - Lire l'article



ARPFreeze est un outil de prévention permettant de modifier la table ARP statique des systèmes d'exploitation de type Microsoft Windows afin de les protéger contre les attaques par empoisonnement du cache ARP ( lien ). Celles-ci pouvant être réalisées à l'aide d'outils comme Cain & Abel ( lien ), Ettercap ( lien ), Scapy ( lien ), Arpspoof ( lien ) et bien d'autres.

Ce script se différencie des commandes internes de manipulation ARP, qui sont propres à ces systèmes, de par sa simplicité d'utilisation et ses capacités d'automatisation en termes de persistance des modifications. Il permet d'éditer de façon simplifiée la table ARP du système afin d'ajouter des entrées statiques permettant de déjouer les attaques de type Man In The Middle utilisant l'ARP Poisonning, via The Middler ( lien ) ou SSLStrip ( lien ) par exemple.

Cette première version est compatible avec l'ensemble des systèmes Microsoft Windows, à noter cependant que le mode opératoire relatif aux systèmes Microsoft Windows Vista et Microsoft Windows Seven présente des caractéristiques différentes vis-à-vis de systèmes plus anciens comme Microsoft Windows XP. La commande Netsh ( lien ) étant privilégiée à la commande arp ( lien ), il sera aussi nécessaire de spécifier une interface réseau dans ce contexte.

Une fois exécuté, ARPFreeze permet de visualiser l'ensemble des entrées qui correspondent aux adresses MAC des ordinateurs récemment recensés. Sont également disponibles des informations complémentaires comme l'adresse IP associée, le propriétaire de l'adresse MAC, le fait que la machine en question soit une passerelle TCP/IP ou qu'elle bénéficie d'une entrée reverse DNS. Il ne reste alors plus qu'à cliquer sur les éléments souhaités pour ajouter les entrées statiques.

Privilégiez de préférence les cibles critiques comme les passerelles de sous-réseau, les contrôleurs de domaine, les serveurs SMTP/POP/DNS/DHCP et les serveurs de clés. Il est ensuite demandé si l'on souhaite rendre persistantes ces entrées dès lors que le système d'exploitation aura été redémarré. Cela étant réalisé par l'intermédiaire du script « arpstaticscript.bat » qui sera exécuté après chaque redémarrage et qui aura été créé lors de la première utilisation d'ARPFreeze, puis mis à jour avec les modifications à venir.

Une fois la commande finale affichée et validée, les entrées sont ajoutées et peuvent être visualisées via « arpstaticscript.bat » ou par l'intermédiaire des commandes internes aux systèmes qui ont été précédemment évoquées. A noter également la mise à disposition du script « Remove All ARP Settings.bat » qui permettra d'annuler l''ensemble des modifications de configuration relatives aux manipulations de la table ARP par l'intermédiaire d'ARPFreeze.

Télécharger ARPFreeze 0.1 et son code source ( lien )

Source : IronGeek via Root Secure ( lien )