L’empoisonnement ARP (également connu sous le nom d’usurpation d’ARP) est une cyberattaque menée par des messages ARP malveillants
Une attaque ARP est difficile à détecter, et une fois qu’elle est en place, l’impact est impossible à ignorer.
Un pirate qui implémente avec succès l’usurpation d’ARP ou l’empoisonnement d’ARP pourrait prendre le contrôle de tous les documents de votre réseau. Vous pourriez être sujet à l’espionnage, ou votre trafic pourrait s’arrêter jusqu’à ce que vous donniez au pirate ce qui est demandé pour une rançon.
Nous vous expliquerons comment fonctionne une attaque ARP, et nous vous donnerons quelques solutions que vous pouvez mettre en œuvre immédiatement pour protéger votre serveur.
Qu’est-ce qu’un ARP ?
En 2001, les développeurs ont introduit le protocole ARP (address resolution Protocol) aux développeurs Unix. À l’époque, ils l’ont décrit comme un « cheval de bataille » qui pourrait établir des connexions au niveau IP avec de nouveaux hôtes.
Le travail est essentiel, surtout si votre réseau est en constante croissance et que vous avez besoin d’un moyen d’ajouter de nouvelles fonctionnalités sans autoriser vous-même chaque demande.
La base de l’ARP est le contrôle d’accès aux médias (MAC). Comme l’expliquent les experts, un MAC est une adresse unique au niveau matériel d’une carte d’interface réseau Ethernet (NIC). Ces numéros sont attribués en usine, bien qu’ils puissent être modifiés par logiciel.
En théorie, un ARP devrait:
- Acceptez les demandes. Un nouvel appareil demande à rejoindre le réseau local (LAN) en fournissant une adresse IP.
- Traduire. Les appareils sur le réseau local ne communiquent pas via une adresse IP. L’ARP traduit l’adresse IP en une adresse MAC.
- Envoyer des demandes. Si l’ARP ne connaît pas l’adresse MAC à utiliser pour une adresse IP, il envoie une demande de paquet ARP, qui interroge d’autres machines sur le réseau pour obtenir ce qui manque.
Cette fonctionnalité permet aux administrateurs réseau de gagner beaucoup de temps. Les demandes sont traitées en coulisses et le réseau effectue tout le nettoyage requis. Mais les dangers existent.
Attaques ARP: Définitions clés
Un développeur malveillant, espérant accéder à des données importantes, pourrait exposer des vulnérabilités et se faufiler à l’intérieur, et vous ne saurez peut-être jamais que cela se produit.
Il existe deux types d’attaques ARP.
- Usurpation d’ARP : Un pirate envoie de faux paquets ARP qui lient l’adresse MAC d’un attaquant à l’adresse IP d’un ordinateur déjà sur le réseau local.
- Empoisonnement ARP : Après une usurpation d’ARP réussie, un pirate modifie la table ARP de l’entreprise, de sorte qu’elle contient des cartes MAC falsifiées. La contagion se propage.
L’objectif est de lier le MAC d’un pirate au réseau local. Le résultat signifie que tout trafic envoyé au réseau LOCAL compromis se dirigera vers l’attaquant à la place.
À la fin d’une attaque ARP réussie, un pirate peut:
- Détourne. Quelqu’un peut regarder par-dessus tout ce qui se dirige vers le réseau local avant de le relâcher.
- Refuser le service. Quelqu’un peut refuser de libérer quoi que ce soit du LAN infecté à moins qu’une sorte de rançon ne soit payée.
- Asseyez-vous au milieu. Quelqu’un qui mène une attaque d’homme du milieu peut faire presque n’importe quoi, y compris modifier des documents avant de les envoyer. Ces attaques menacent à la fois la confidentialité et réduisent la confiance des utilisateurs. Ils font partie des attaques les plus dangereuses que quiconque puisse perpétrer.
Si un hacker veut reprendre un hôte final, le travail doit être fait rapidement. Les processus ARP expirent dans environ 60 secondes. Mais sur un réseau, les demandes peuvent durer jusqu’à 4 heures. Cela laisse beaucoup de temps à un pirate informatique pour envisager et exécuter une attaque.
Vulnérabilités ARP connues
La vitesse, la fonctionnalité et l’autonomie étaient les objectifs lors du développement d’ARP. Le protocole n’a pas été conçu avec la sécurité à l’esprit, et il s’est avéré très facile d’usurper et de modifier à des fins malveillantes.
Un hacker n’a besoin que de quelques outils pour que cela fonctionne.Connexion
- : L’attaquant doit contrôler une machine connectée au réseau local. Mieux encore, le pirate est déjà directement connecté au réseau local.
- Compétences de codage: Le pirate doit savoir écrire des paquets ARP qui sont immédiatement acceptés ou stockés sur le système.
- Outils extérieurs : Un pirate peut utiliser un outil d’usurpation d’identité, tel que Arpspoof, pour envoyer des réponses ARP falsifiées ou autrement inauthentiques.
- Patience. Certains pirates informatiques pénètrent rapidement dans les systèmes. Mais d’autres doivent envoyer des dizaines, voire des centaines de demandes avant de tromper le réseau local.
ARP est sans état et les réseaux ont tendance à mettre en cache les réponses ARP. Plus ils s’attardent longtemps, plus ils deviennent dangereux. Une réponse restante pourrait être utilisée lors de la prochaine attaque, ce qui conduit à un empoisonnement à l’ARP.
Aucune méthode de vérification d’identité n’existe dans un système ARP traditionnel. Les hôtes ne peuvent pas déterminer si les paquets sont authentiques et ils ne peuvent même pas déterminer d’où ils viennent.
Prévention des attaques par empoisonnement à l’ARP
Les pirates utilisent une série d’étapes prévisibles pour s’emparer d’un réseau local. Ils envoient un paquet ARP usurpé, ils envoient une demande qui se connecte à l’usurpation, et ils prennent le relais. La demande est diffusée sur tous les ordinateurs du réseau local et le contrôle est terminé.
Les administrateurs réseau peuvent utiliser deux techniques pour détecter l’usurpation d’ARP.
- Passif : Surveillez le trafic ARP et recherchez les incohérences de mappage.
- Actif: Injectez des paquets ARP falsifiés dans le réseau. Une attaque d’usurpation comme celle-ci vous aide à identifier les points faibles de votre système. Corrigez-les rapidement et vous pourrez arrêter une attaque en cours.
Certains développeurs tentent d’écrire leur propre code pour détecter une usurpation, mais cela comporte des risques. Si le protocole est trop strict, des fausses alarmes excessives ralentissent l’accès. Si le protocole est trop permissif, les attaques en cours sont ignorées, car vous avez un faux sentiment de sécurité. Le chiffrement
peut être utile. Si un pirate fouille dans votre système et n’obtient que du texte brouillé sans clé de décodage, les dégâts sont limités. Mais vous devez appliquer le cryptage de manière cohérente pour une protection complète.
L’utilisation d’un VPN pourrait être une source de protection exceptionnelle. Les appareils se connectent via un tunnel crypté et toutes les communications sont immédiatement cryptées.
Outils de protection à considérer
De nombreuses entreprises fournissent des programmes de surveillance que vous pouvez utiliser pour superviser votre réseau et détecter les problèmes ARP.
Ce sont des solutions courantes:
- Arpwatch: Surveillez l’activité Ethernet, y compris la modification des adresses IP et MAC, via cet outil Linux. Regardez le journal tous les jours et accédez aux horodatages pour comprendre exactement quand l’attaque s’est produite.
- ARP-GUARD : Accédez à un aperçu graphique de votre réseau existant, y compris des illustrations de commutateurs et de routeurs. Permettez au programme de comprendre quels appareils se trouvent sur votre réseau et de créer des règles pour contrôler les connexions futures.
- XArp : Utilisez cet outil pour détecter les attaques qui se produisent sous votre pare-feu. Soyez averti dès qu’une attaque commence et utilisez l’outil pour déterminer ce qu’il faut faire ensuite.
- Wireshark: Utilisez cet outil pour développer une compréhension graphique de tous les périphériques de votre réseau. Cet outil est puissant, mais vous aurez peut-être besoin de compétences avancées pour le mettre en œuvre correctement.
- Filtrage des paquets : Utilisez cette technique de pare-feu pour gérer l’accès au réseau en surveillant les paquets IP entrants et sortants. Les paquets sont autorisés ou arrêtés en fonction des adresses IP source et de destination, des ports et des protocoles.
- ARP statique: Ces ARP sont ajoutés au cache et conservés de manière permanente. Ceux-ci serviront de mappages permanents entre les adresses MAC et les adresses IP.
Travaillez avec Okta
Nous savons que vous devez assurer la sécurité de vos systèmes. Nous savons également que vous ne savez peut-être pas par où commencer et quelles mesures prendre dès maintenant. Nous pouvons vous aider. Découvrez comment Okta peut aider à prévenir les attaques d’empoisonnement à l’ARP.
Astuces de mise en réseau ARP. (Octobre 2001). Computerworld.
Domaine 4 : Sécurité des Communications et des Réseaux (Conception et Protection de la Sécurité des Réseaux). (2016). Guide d’étude du CISSP (Troisième Édition).
Fiche d’information : Attaques de l’Homme du milieu. (Mars 2020). Société Internet.
Sur l’Enquête Sur les Solutions De Sécurité d’Usurpation d’Identité ARP. (Avril 2010). Journal International de la Technologie des Protocoles Internet.
ARP traditionnel. (Janvier 2017). Mise en réseau pratique.
Attaques d’usurpation de protocole de résolution d’adresses et Approches de sécurité : Une enquête. (Décembre 2018). Sécurité et confidentialité.
Limites de détection des attaques ARP. Sécurité le sac Infosec.
Outil Arpwatch pour Surveiller l’activité Ethernet sous Linux. (Avril 2013). TecMint.
Fiche technique ARP-GUARD. GARDE D’ARP.
Accueil. XArp.
Accueil. Wireshark.