ARP poisoning (noto anche come ARP spoofing) è un attacco informatico effettuato attraverso messaggi ARP dannosi
Un attacco ARP è difficile da rilevare, e una volta che è a posto, l’impatto è impossibile ignorare.
Un hacker che implementa con successo ARP spoofing o ARP poisoning potrebbe ottenere il controllo di ogni documento sulla rete. Potresti essere soggetto a spionaggio, o il tuo traffico potrebbe fermarsi fino a quando non dai all’hacker ciò che è richiesto per il riscatto.
Ti spiegheremo come funziona un attacco ARP e ti forniremo alcune soluzioni che puoi implementare subito per mantenere il tuo server al sicuro.
Che cos’è un ARP?
Nel 2001, gli sviluppatori hanno introdotto l’address Resolution Protocol (ARP) per gli sviluppatori Unix. All’epoca, lo descrivevano come un “cavallo di battaglia” che poteva stabilire connessioni a livello IP con nuovi host.
Il lavoro è fondamentale, soprattutto se la rete è in costante crescita, e avete bisogno di un modo per aggiungere nuove funzionalità senza autorizzare ogni richiesta da soli.
La base di ARP è media Access Control (MAC). Come spiegano gli esperti, un MAC è un indirizzo unico a livello hardware di una scheda di interfaccia di rete ethernet (NIC). Questi numeri sono assegnati in fabbrica, sebbene possano essere modificati dal software.
In teoria, un ARP dovrebbe:
- Accetta richieste. Un nuovo dispositivo chiede di unirsi alla rete locale (LAN), fornendo un indirizzo IP.
- Tradurre. I dispositivi sulla LAN non comunicano tramite l’indirizzo IP. L’ARP traduce l’indirizzo IP in un indirizzo MAC.
- Invia richieste. Se l’ARP non conosce l’indirizzo MAC da utilizzare per un indirizzo IP, invia una richiesta di pacchetto ARP, che interroga altre macchine sulla rete per ottenere ciò che manca.
Questa funzionalità consente agli amministratori di rete di risparmiare molto tempo. Le richieste vengono gestite dietro le quinte e la rete esegue tutte le operazioni di pulizia necessarie. Ma i pericoli esistono.
Attacchi ARP: Definizioni chiave
Uno sviluppatore malintenzionato, nella speranza di ottenere l’accesso a dati importanti, potrebbe esporre le vulnerabilità e intrufolarsi all’interno, e non si può mai sapere che sta accadendo.
Esistono due tipi di attacchi ARP.
- ARP spoofing: un hacker invia falsi pacchetti ARP che collegano l’indirizzo MAC di un utente malintenzionato con un IP di un computer già sulla LAN.
- ARP poisoning: Dopo uno spoofing ARP riuscito, un hacker cambia la tabella ARP dell’azienda, quindi contiene mappe MAC falsificate. Il contagio si diffonde.
L’obiettivo è quello di collegare il MAC di un hacker con la LAN. Il risultato significa che qualsiasi traffico inviato alla LAN compromessa si dirigerà invece verso l’attaccante.
Alla fine di un attacco ARP riuscito, un hacker può:
- Dirottare. Qualcuno può guardare oltre tutto ciò che si dirige verso la LAN prima di rilasciarlo.
- Nega il servizio. Qualcuno potrebbe rifiutarsi di rilasciare qualsiasi cosa dalla LAN infetta a meno che non venga pagato un qualche tipo di riscatto.
- Siediti al centro. Qualcuno che conduce un attacco man-in-the-middle può fare quasi tutto, compresa la modifica dei documenti prima di inviarli. Questi attacchi minacciano la riservatezza e riducono la fiducia degli utenti. Sono tra gli attacchi più pericolosi che chiunque possa perpetrare.
Se un hacker vuole prendere in consegna un host finale, il lavoro deve essere fatto rapidamente. I processi ARP scadono entro circa 60 secondi. Ma su una rete, le richieste possono indugiare fino a 4 ore. Che lascia un sacco di tempo per un hacker sia per contemplare ed eseguire un attacco.
Vulnerabilità ARP note
Velocità, funzionalità e autonomia erano gli obiettivi quando ARP è stato sviluppato. Il protocollo non è stato fatto con la sicurezza in mente, ed è dimostrato molto facile da falsificare e modificare per fini dannosi.
Un hacker ha bisogno di pochi strumenti per farlo funzionare.
- Connessione: l’utente malintenzionato deve controllare una macchina collegata alla LAN. Meglio ancora, l’hacker è già collegato direttamente alla LAN.
- Capacità di codifica: L’hacker deve sapere come scrivere pacchetti ARP che vengono immediatamente accettati o memorizzati sul sistema.
- Strumenti esterni: un hacker potrebbe utilizzare uno strumento di spoofing, come Arpspoof, per inviare risposte ARP falsificate o comunque non autentiche.
- Pazienza. Alcuni hacker brezza nei sistemi rapidamente. Ma altri devono inviare decine o addirittura centinaia di richieste prima di ingannare la LAN.
ARP è stateless e le reti tendono a memorizzare nella cache le risposte ARP. Più a lungo indugiano, più diventano pericolosi. Una risposta rimanente potrebbe essere utilizzata nel prossimo attacco, che porta all’avvelenamento da ARP.
Non esiste un metodo di verifica dell’identità in un sistema ARP tradizionale. Gli host non possono determinare se i pacchetti sono autentici e non possono nemmeno determinare da dove provengono.
ARP Poisoning Attack Prevention
Gli hacker utilizzano una serie prevedibile di passaggi per prendere in consegna una LAN. Inviano un pacchetto ARP falsificato, inviano una richiesta che si connette alla parodia e prendono il sopravvento. La richiesta viene trasmessa a tutti i computer della LAN e il controllo è completo.
Gli amministratori di rete possono utilizzare due tecniche per rilevare lo spoofing ARP.
- Passivo: monitorare il traffico ARP e cercare incongruenze di mappatura.
- Attivo: Iniettare pacchetti ARP falsificati nella rete. Un attacco di spoofing come questo ti aiuta a identificare i punti deboli nel tuo sistema. Rimediare rapidamente, e si potrebbe fermare un attacco in corso.
Alcuni sviluppatori tentano di scrivere il proprio codice per rilevare una parodia, ma ciò comporta dei rischi. Se il protocollo è troppo rigido, falsi allarmi eccessivi rallentano l’accesso. Se il protocollo è troppo permissivo, gli attacchi in corso vengono ignorati, poiché si ha un falso senso di sicurezza.
La crittografia può essere utile. Se un hacker scava nel sistema e ottiene solo testo confuso senza chiave di decodifica, il danno è limitato. Ma è necessario applicare la crittografia in modo coerente per una protezione completa.
L’uso di una VPN potrebbe essere una fonte eccezionale di protezione. I dispositivi si connettono attraverso un tunnel crittografato e tutte le comunicazioni vengono immediatamente crittografate.
Strumenti di protezione da considerare
Molte aziende forniscono programmi di monitoraggio che è possibile utilizzare per sorvegliare la rete e individuare i problemi ARP.
Queste sono soluzioni comuni:
- Arpwatch: Monitora l’attività ethernet, inclusa la modifica degli indirizzi IP e MAC, tramite questo strumento Linux. Guarda il registro ogni giorno e accedi ai timestamp per capire quando è avvenuto l’attacco.
- ARP-GUARD: accedi a una panoramica grafica della rete esistente, incluse illustrazioni di switch e router. Consentire al programma di sviluppare una comprensione di quali dispositivi sono in rete e costruire regole per controllare le connessioni future.
- XArp: Utilizzare questo strumento per rilevare gli attacchi che si verificano sotto il firewall. Ricevi una notifica non appena inizia un attacco, e utilizzare lo strumento per determinare cosa fare dopo.
- Wireshark: Utilizzare questo strumento per sviluppare una comprensione grafica di tutti i dispositivi sulla rete. Questo strumento è potente, ma potrebbe essere necessario competenze avanzate per implementarlo correttamente.
- Filtraggio dei pacchetti: utilizzare questa tecnica firewall per gestire l’accesso alla rete monitorando i pacchetti IP in entrata e in uscita. I pacchetti sono consentiti o fermati in base agli indirizzi IP di origine e di destinazione, alle porte e ai protocolli.
- ARP statico: Questi ARP vengono aggiunti alla cache e mantenuti su base permanente. Questi serviranno come mappature permanenti tra indirizzi MAC e indirizzi IP.
Lavora con Okta
Sappiamo che sei tenuto a mantenere i tuoi sistemi sicuri e protetti. Sappiamo anche che si può essere sicuri di dove cominciare e quali passi da fare in questo momento. Possiamo aiutare. Scopri come Okta può aiutare a prevenire gli attacchi di avvelenamento da ARP.
Trucchi di rete ARP. (Ottobre 2001). Computerworld.
Dominio 4: Comunicazione e sicurezza di rete (progettazione e protezione della sicurezza di rete). (2016). Guida allo studio CISSP (Terza edizione).
Scheda informativa: Attacchi Man-in-the-Middle. (Marzo 2020). Società di Internet.
Sull’indagine delle soluzioni di sicurezza di spoofing ARP. (Aprile 2010). International Journal of Internet Protocol Technology.
ARP tradizionale. (Gennaio 2017). Networking pratico.
Address Resolution Protocol Spoofing Attacchi e approcci di sicurezza: un sondaggio. (Dicembre 2018). Sicurezza e privacy.
Limitazioni di rilevamento degli attacchi ARP. Sicurezza la borsa Infosec.
Strumento Arpwatch per monitorare l’attività Ethernet in Linux. (Aprile 2013). TecMint.
Scheda tecnica ARP-GUARD. ARP-GUARDIA.
Inizio. XArp.
Inizio. Wireshark.