Como os comenté en un post anterior sobre Arp-Spoof, Marmita es una herramienta para Windows para protegernos de este ataque. Marmita funciona esnifando los paquetes de la interfaz de red seleccionada y analizando aquellos paquetes bien sean ARP o DHCP en busca de posibles ataques MITM. Cuando detecta un ataque muestra una alerta y la información del atacante que haya podido obtener.
La herramienta permite varias configuraciones, pudiendo elegir los tipos de ataques que se desean detectar, si se desea que se mitiguen los ataques ARP Poisoning, así cómo la posibilidad de iniciar Marmita con Windows - algo que os recomendamos si vais de red en red -. En la ventana principal además existen distintos paneles con información sobre ARP y DHCP así como todos los logs.
La instalación y el uso no tienen ningún problema y solo necesitamos tener instalados WinPcap y Microsoft Net Framework 3.5. Sobre esto, dos apuntes:
1) WinPcap. Durante la instalación de Marmita se revisan las dependencias y podemos acceder directamente a la web de Winpcap desde el instalador.
Podemos ir a la web de WinPcap y descargar la ultima versión. |
La instalación de WinPcap no tiene ninguna dificultad solo
tenemos que elegir si queremos que se inicie con el inicio de Windows .
En caso de que no queramos iniciar Winpcap con el inicio, para iniciarlo luego, hay que abrir una consola con privilegios de administrador y allí ejecutar el comando:
# net start npf
2) Microsoft Net Framework 3.5. En el instalador tenemos un enlace para la última versión, pero la última versión es la 4.0 que no nos sirve para Marmita. Debemos buscar e instalar la v 3.5.
Con las dependencias listas podemos continuar con la instalación de Marmita. El típico instalador de Windows, next, aceptar licencia, next, elegir carpeta…
Una vez instalada podemos abrir el interfaz haciendo clic al icono en la barra de tareas, después hacemos clic en Start Detection y lo dejamos correr en segundo plano.
Ahora voy a arrancar una máquina con Kali Linux y voy ha ejecutar un ataque arp-spoofing con Bettercap que ya vimos en otra ocasión.
En cuanto es detectada actividad sospechosa tenemos notificación visual y una alerta en la aplicación.
Aparte del aviso tenemos los detalles de la acción y logs con toda la información recopilada.
Como veis es muy simple y efectiva, se puede llevar instalada y activarla cuando nos conectemos a una red pública o dejar que autoarranque al inicio de Windows, es muy ligera y apenas notaremos nada. La única pega es, que yo sepa, no hay ninguna versión nueva de Marmita (2012) y está empezando a quedarse antigua, Pcpcap ha cesado el desarrollo, (en su web nos recomiendan Npcap) y en un futuro cercano quedará obsoleta.
No hay comentarios:
Publicar un comentario