Envenenamiento ARP (también conocido como spoofing ARP) es un ataque cibernético llevado a cabo a través de mensajes ARP maliciosos
Un ataque ARP es difícil de detectar, y una vez que está en su lugar, el impacto es imposible de ignorar.
Un hacker que implementa con éxito la suplantación de ARP o el envenenamiento ARP podría obtener el control de todos los documentos de su red. Podrías estar sujeto a espionaje, o tu tráfico podría detenerse hasta que le des al hacker lo que se solicita como rescate.
Le explicaremos cómo funciona un ataque ARP y le daremos algunas soluciones que puede implementar de inmediato para mantener seguro su servidor.
¿Qué es un ARP?
En 2001, los desarrolladores introdujeron el protocolo de resolución de direcciones (ARP) a los desarrolladores de Unix. En ese momento, lo describieron como un» caballo de batalla » que podía establecer conexiones de nivel IP a nuevos hosts.
El trabajo es crítico, especialmente si su red está en constante crecimiento, y necesita una forma de agregar nuevas funcionalidades sin autorizar cada solicitud usted mismo.
La base de ARP es el control de acceso a medios (MAC). Como explican los expertos, un MAC es una dirección única a nivel de hardware de una tarjeta de interfaz de red ethernet (NIC). Estos números se asignan en la fábrica, aunque se pueden cambiar por software.
En teoría, un ARP debe:
- Acepta solicitudes. Un nuevo dispositivo solicita unirse a la red de área local (LAN), proporcionando una dirección IP.
- Traducir. Los dispositivos de la LAN no se comunican a través de la dirección IP. El ARP traduce la dirección IP a una dirección MAC.
- Enviar solicitudes. Si el ARP no conoce la dirección MAC que debe usar para una dirección IP, envía una solicitud de paquete ARP, que consulta a otras máquinas de la red para obtener lo que falta.
Esta funcionalidad ahorra mucho tiempo a los administradores de red. Las solicitudes se manejan detrás de escena, y la red hace toda la limpieza requerida. Pero los peligros existen.Ataques ARP
: Definiciones clave
Un desarrollador malicioso, con la esperanza de obtener acceso a datos importantes, podría exponer vulnerabilidades y colarse dentro, y es posible que nunca sepa que está sucediendo.
Existen dos tipos de ataques ARP.
- Spoofing ARP: Un hacker envía paquetes ARP falsos que enlazan la dirección MAC de un atacante con una IP de un equipo que ya está en la LAN.
- Envenenamiento ARP: Después de una falsificación ARP exitosa, un hacker cambia la tabla ARP de la compañía, por lo que contiene mapas MAC falsificados. El contagio se propaga.
El objetivo es vincular el MAC de un hacker con la LAN. El resultado significa que cualquier tráfico enviado a la LAN comprometida se dirigirá al atacante en su lugar.
Al final de un ataque ARP exitoso, un hacker puede:
- Secuestro. Alguien puede mirar por encima de todo lo que se dirige a la red local antes de liberarlo.
- Denegar el servicio. Alguien puede negarse a liberar algo de la red local infectada a menos que se pague algún tipo de rescate.
- Siéntate en el medio. Alguien que realiza un ataque de hombre en el medio puede hacer casi cualquier cosa, incluida la alteración de documentos antes de enviarlos. Estos ataques amenazan la confidencialidad y reducen la confianza de los usuarios. Están entre los ataques más peligrosos que cualquiera puede perpetrar.
Si un hacker quiere hacerse cargo de un host final, el trabajo debe hacerse rápidamente. Los procesos ARP expiran en unos 60 segundos. Pero en una red, las solicitudes pueden durar hasta 4 horas. Eso deja mucho tiempo para que un hacker contemple y ejecute un ataque.
Vulnerabilidades conocidas de ARP
Velocidad, funcionalidad y autonomía fueron los objetivos cuando se desarrolló ARP. El protocolo no se hizo teniendo en cuenta la seguridad, y se ha demostrado que es muy fácil de falsificar y modificar para fines maliciosos.
Un hacker necesita solo unas pocas herramientas para que esto funcione.
- Conexión: El atacante necesita el control de una máquina conectada a LAN. Mejor aún, el hacker ya está conectado directamente a la LAN.
- Habilidades de codificación: El hacker debe saber escribir paquetes ARP que se aceptan o almacenan inmediatamente en el sistema.
- Herramientas externas: Un hacker podría usar una herramienta de suplantación, como Arpspoof, para enviar respuestas ARP falsificadas o no auténticas.
- Paciencia. Algunos hackers entran rápidamente en los sistemas. Pero otros deben enviar docenas o incluso cientos de solicitudes antes de engañar a la LAN.
ARP es sin estado, y las redes tienden a almacenar en caché las respuestas ARP. Cuanto más tiempo se quedan, más peligrosos se vuelven. Una respuesta sobrante podría usarse en el siguiente ataque, lo que conduce al envenenamiento por ARP.
No existe ningún método de prueba de identidad en un sistema ARP tradicional. Los Hosts no pueden determinar si los paquetes son auténticos, y ni siquiera pueden determinar de dónde vienen.
Prevención de ataques de envenenamiento ARP
Los hackers utilizan una serie predecible de pasos para hacerse cargo de una LAN. Envían un paquete ARP falsificado, envían una solicitud que se conecta a la falsificación, y se hacen cargo. La solicitud se transmite a todos los ordenadores de la LAN y el control está completo.
Los administradores de red pueden utilizar dos técnicas para detectar la suplantación de ARP.
- Pasivo: Supervise el tráfico ARP y busque inconsistencias de asignación.
- Activo: Inyectar paquetes ARP falsificados en la red. Un ataque de suplantación de identidad como este te ayuda a identificar los puntos débiles de tu sistema. Remediarlos rápidamente, y podrías detener un ataque en curso.
Algunos desarrolladores intentan escribir su propio código para detectar una falsificación, pero eso conlleva riesgos. Si el protocolo es demasiado estricto, las falsas alarmas excesivas ralentizan el acceso. Si el protocolo es demasiado permisivo, los ataques en curso se ignoran, ya que tiene una falsa sensación de seguridad. El cifrado
puede ser útil. Si un hacker se mete en su sistema y solo obtiene texto confuso sin clave de decodificación, el daño es limitado. Pero debe aplicar el cifrado de manera consistente para una protección completa.
El uso de una VPN podría ser una fuente de protección excepcional. Los dispositivos se conectan a través de un túnel cifrado, y toda la comunicación se cifra inmediatamente.
Herramientas de protección a tener en cuenta
Muchas empresas ofrecen programas de monitoreo que puede usar para supervisar su red y detectar problemas ARP.
Estas son soluciones comunes:
- Arpwatch: Monitoree la actividad de Ethernet, incluido el cambio de direcciones IP y MAC, a través de esta herramienta de Linux. Revise el registro todos los días y acceda a las marcas de tiempo para comprender cuándo ocurrió el ataque.
- ARP-GUARD: Acceda a una descripción gráfica de su red existente, incluidas ilustraciones de conmutadores y enrutadores. Permita que el programa desarrolle una comprensión de qué dispositivos están en su red y cree reglas para controlar conexiones futuras.
- XArp: Utilice esta herramienta para detectar ataques que ocurren debajo de su firewall. Reciba una notificación tan pronto como comience un ataque y use la herramienta para determinar qué hacer a continuación.
- Wireshark: Utilice esta herramienta para desarrollar una comprensión gráfica de todos los dispositivos de su red. Esta herramienta es poderosa, pero es posible que necesite habilidades avanzadas para implementarla correctamente.
- Filtrado de paquetes: Utilice esta técnica de firewall para administrar el acceso a la red mediante la supervisión de los paquetes IP entrantes y salientes. Los paquetes se permiten o se detienen en función de las direcciones IP de origen y destino, los puertos y los protocolos.
- ARP estático: Estos ARP se agregan a la caché y se conservan de forma permanente. Estos servirán como asignaciones permanentes entre direcciones MAC y direcciones IP.
Trabaje con Okta
Sabemos que debe mantener sus sistemas seguros y protegidos. También sabemos que puede no estar seguro de por dónde comenzar y qué pasos tomar en este momento. Podemos ayudar. Descubra cómo Okta puede ayudar a prevenir los ataques de envenenamiento por ARP.
Trucos de redes ARP. (Octubre de 2001). Computerworld.
Dominio 4: Comunicación y Seguridad de la Red (Diseño y Protección de la Seguridad de la Red). (2016). CISSP Study Guide (Tercera edición).
Hoja informativa: Ataques de Hombre en el Medio. (Marzo de 2020). Internet Society.
Sobre la Investigación de Soluciones de Seguridad de Suplantación de ARP. (Abril de 2010). International Journal of Internet Protocol Technology (en inglés).
ARP tradicional. (Enero de 2017). Redes Prácticas.
Ataques de Suplantación de Protocolo de Resolución de Direcciones y Enfoques de Seguridad: Una Encuesta. (Diciembre de 2018). Seguridad y Privacidad. Limitaciones de Detección de Ataques ARP
. Seguridad la Bolsa Infosec.
Arpwatch Herramienta para Monitorear la Actividad Ethernet en Linux. (Abril de 2013). TecMint.
Hoja de datos de ARP-GUARD. ARP-GUARD.
Inicio. XArp.
Inicio. Wireshark.