cloud's Blog

Orange propose 2 forfaits pour utiliser Internet, l'Origami Star et l'Origami Star iPhone. L'avantage du second est de permettre de récupérer ses emails directement depuis l'application Mail sans hors forfait. Par contre il coute 7euros de plus. Certes il est tout à fait possible d'utiliser un webmail mais ce n'est pas le plus pratique. Pour bypasser cela il y a une technique bien plus simple, il suffit de vous connecter à votre serveur mail sur un port considéré comme "gratuit" par Orange comme par exemple le HTTPS. En effet il semble que le controle ne soit basé que sur le port et non le protocole utilisé derrière.

Donc je vais faire très simple, je vais rediriger toute entrée sur mon serveur par le port 443 vers ma jail contenant mon serveur imap ssl tournant sur le port. Avec PF cela donne la règle suivante :

rdr on $ext_if proto tcp from any to any port 443 -> 192.168.1.30 port 993

Bien sur tout cela impose d'avoir son propre serveur de mail pour effectuer cette redirection. Il serait également possible de modifier le port du serveur imap ssl.
Les ports que j'ai constaté ouverts et gratuits avec mon forfait Origami Star sont les 21, 80 et 443.

Quand on a l'habitude de se connecter à des réseaux publics, qu'on est un admin consciencieux ou qu'on est tout simplement un peu parano, il faut s'assurer que nous ne sommes pas victimes d'une attaque Man in the Middle. Je ne vais pas ici vous faire un cours d'arp spoofing car Google vous renseignera parfaitement sur ce sujet. J'ai par contre voulu développer un script Bash au doux nom d'ARP Poisoning Guardian surveillant mes tables ARP et m'indiquant si je suis victime d'une attaque et quand celle ci s'arrète. J'aurais également pu faire un système qui ajoute automatiquement la passerelle en statique mais c'est quand meme plus sympa de savoir si on est victime d'une attaque pour pouvoir remonter jusqu'au petit malin. Quand une attaque est détectée, le script vous donne l'adresse MAC du pirate et vous propose tout de meme d'ajouter la bonne entrée statique pour vous protéger.

L'utilisation est très simple :

./arprotec.sh -ip <ip_de_la_passerelle>

Voici maintenant le script que j'ai codé sous FreeBSD. Celui ci devrait également fonctionner sous Linux en modifiant le chemin de Bash :

#!/usr/local/bin/bash

echo ">> ARP Poisoning Guardian by cloud"
echo ">> website : http://blog.madpowah.org"
echo "-----"
help() {
	echo "Usage: ./arprotec.sh -ip <ip_gateway>"
	exit
}

if [ $# -lt 2 ]
then
	help
	exit
fi
	
if [ "-ip" = $1 ]
then
	ip_gw=$2
else
	help
	exit
fi

arp -a > arpfile

while read line_arp
do
	ip=`echo $line_arp | cut -d ' ' -f2 | cut -d '(' -f2 | cut -d ')' -f1`
	
	if [ $ip = $ip_gw ]
	then
		mac_gw=`echo $line_arp | cut -d ' ' -f4`
	fi
done < arpfile

echo ">> IP :" $ip_gw "MAC :" $mac_gw
echo ">> Now starting..."
echo ">>"

attack=0
while [ 42 -eq 42 ]
do
	arp -a > arpfile
	while read line_arp
	do
		ip=`echo $line_arp | cut -d ' ' -f2 | cut -d '(' -f2 | cut -d ')' -f1`
	
		if [ $ip = $ip_gw ]
		then
			mac_gw_new=`echo $line_arp | cut -d ' ' -f4`
			if [ $mac_gw_new != $mac_gw ]
			then
				if [ $attack -ne 1 ]
				then
					heure=`date | cut -d ' ' -f5`
					echo ">>" $heure "/!\ ARP Poisoning detected !!!"
					echo ">>" $heure "MAC Attacker: " $mac_gw_new
					echo ">>" $heure "You should add a static arp entry typing: arp -s" $ip_gw $mac_gw
					echo ">>"
					attack=1
				fi
			else
				if [ $attack -ne 0 ]
				then
					heure=`date | cut -d ' ' -f5`
					echo ">>" $heure "Attack seems stopped ..."
					echo ">>"
					attack=0
				fi
			fi
		fi
	done < arpfile
	rm arpfile
	sleep 5
done

On obtient alors quelque chose comme cela :

[cloud@r00t ~]$ ./arprotec.sh -ip 192.168.0.254
>> ARP Poisoning Guardian by cloud
>> website : http://blog.madpowah.org
-----
>> IP : 192.168.0.254 MAC : 00:07:ca:3c:8e:d8
>> Now starting...
>>
>> 23:23:15 /!\ ARP Poisoning detected !!!
>> 23:23:15 MAC Attacker:  00:1c:f0:9e:3f:4a
>> 23:23:15 You should add a static arp entry typing: arp -s 192.168.0.254 00:07:ca:3c:8e:d8
>>
>> 23:25:09 Attack seems stopped ...