Muchos ciberataques tienen lugar aprovechando las debilidades de la red. El envenenamiento por ARP también es uno de esos ciberataques. Explota el Protocolo de resolución de direcciones (ARP) para atacar el tráfico de red. Antes de profundizar en la comprensión del concepto de envenenamiento por ARP, comprendamos primero el protocolo ARP.
Protocolo ARP:
En los primeros días de las redes informáticas, el Protocolo de resolución de direcciones (ARP) se usaba ampliamente, ya que admitía el enfoque en capas. En el enfoque por capas, las diferentes capas trabajaban independientemente unas de otras.
ARP traduce entre direcciones MAC y direcciones IP. Las direcciones MAC están presentes en la capa de enlace de datos y las direcciones IP están presentes en la capa de red. De esta forma, los dispositivos en red pueden conocer el otro dispositivo al que está asignada actualmente la dirección IP actual. Esta asignación también se puede hacer pública para el resto de la red. Además, para mantener la eficiencia, los dispositivos almacenan en caché todas las respuestas para mantener una lista de asignaciones MAC-IP en un momento presente.
Envenenamiento por ARP:
Como se mencionó anteriormente, este ataque explota las debilidades presentes en el protocolo ARP para corromper las asignaciones que están presentes en la red. El protocolo ARP se introdujo en 1982 y la seguridad no era una preocupación en ese momento. Por lo tanto, no se diseñaron mecanismos de autenticación para validar los mensajes ARP. De esta forma, incluso los dispositivos maliciosos pueden responder a una solicitud ARP. Esta es una laguna importante en el protocolo ARP, ya que deja un gran espacio para que los usuarios maliciosos envenenen los cachés de otros dispositivos. Si esto sucede, la memoria caché ARP se llenará con entradas incorrectas.
Pasos generales involucrados en ARP Poisoning Attack:
Los pasos de un ataque de envenenamiento ARP pueden cambiar pero, en general, tiene los siguientes pasos:
- Selección de la víctima : en primer lugar, se selecciona un objetivo. Puede ser una sola máquina o un grupo de máquinas dependiendo de la intención del ataque. Además, un atacante puede elegir un solo punto final o un grupo de puntos finales en la red. Sin embargo, el objetivo más atractivo es un enrutador, ya que puede interrumpir toda la red.
- Lanzamiento de herramientas e inicio de ataque : Para realizar un ataque de envenenamiento ARP , existe una gran variedad de herramientas que podemos utilizar. Después de elegir una herramienta específica, se configuran los ajustes y el atacante está listo para iniciar el ataque. Un atacante puede elegir transmitir mensajes ARP o esperar una solicitud.
- Entrometerse en el tráfico : después de corromper las máquinas en la red, el atacante puede realizar cualquier tipo de actividad maliciosa. Pueden cambiar, inspeccionar o bloquear permanentemente los datos para que no vayan a su destino.
Varios ataques de envenenamiento ARP:
Estos son los pocos tipos principales de ataques de envenenamiento ARP:
- Man-in-the-Middle Attack : También abreviado como MiTM , es un ataque donde una tercera persona entra en escena disfrazada de una auténtica fiesta. Es un ataque muy peligroso en el que el intermediario puede enviar datos falsos a otros dispositivos a través de la red. Además, esto lleva a que la máquina de la víctima se llene con un caché ARP de direcciones MAC del dispositivo de ataque y no con la dirección MAC del enrutador local. Las máquinas que han sido atacadas reenviarán incorrectamente el tráfico al atacante.
- Ataque de denegación de servicios : también abreviado como DoS , es un ataque que tiene como objetivo negar el acceso a la red a las víctimas. Cuando ARP entra en escena, el atacante puede asignar falsamente miles de direcciones IP a una sola MAC. Esto también se denomina inundación ARP y afecta el rendimiento de toda la red.
- Secuestro de sesión: son un poco similares a los ataques Man-in-the-Middle . La única diferencia que existe es que el atacante no reenvía el tráfico maliciosamente. Más bien, toma el número de secuencia TCP genuino para tomar la identidad de la víctima.
Prevención de ataques de envenenamiento por ARP:
Las siguientes son las cinco formas de evitar los ataques de envenenamiento ARP:
1. Tablas ARP estáticas: la mitad del problema se resolverá si podemos estar seguros de la asignación correcta de direcciones MAC a direcciones IP. Esto se puede hacer, pero es pesado por parte de la administración. Las tablas ARP mantienen un registro de todas las asignaciones y cualquier cambio de red se actualiza en estas tablas manualmente. Ahora, las organizaciones no pueden actualizar manualmente las tablas ARP para todos los hosts.
2. Seguridad del conmutador: la mayoría de los conmutadores Ethernet tienen funciones que pueden ayudar a mitigar los ataques de envenenamiento por ARP. Estas funciones también se conocen como Inspección ARP Dinámica (DAI) y ayudan a validar los mensajes ARP y descartar paquetes que muestren cualquier tipo de actividad maliciosa. Esto también permite limitar la velocidad a la que los mensajes ARP pueden pasar a través del conmutador.
DAI y otras características similares ahora no solo están disponibles en equipos de red de alta gama, sino también en todos los conmutadores de nivel empresarial. Por lo general, DAI está habilitado en todos los puertos excepto en los que están conectados a otros conmutadores. La seguridad de puertos en un conmutador ayuda a reducir los ataques de envenenamiento de caché ARP. Al usar la seguridad del puerto, no hay posibilidad de que un atacante pueda tomar múltiples identidades en la red. Esto se debe a que, mediante la seguridad del puerto, se puede configurar una única dirección MAC en un puerto de switch.
3. Seguridad física: una forma muy sencilla de mitigar los ataques de envenenamiento ARP es controlar el espacio físico de su negocio. El enrutamiento de mensajes ARP se realiza únicamente dentro de una red local. Así, los probables atacantes se encuentran en proximidad física a la red de la víctima. Además, en el caso de los sistemas inalámbricos, un atacante podría estar presente en una calle o en un estacionamiento. El uso de tecnologías como 802.1x puede ayudar a eliminar cualquier amenaza para los dispositivos y la red.
4. Aislamiento de la red: dado que los mensajes ARP no tienen un alcance mayor que la subred local, una red bien segmentada es mejor que una red normal. De esta manera, incluso si se produce el ataque, solo una parte de la red se verá afectada y las otras partes estarán a salvo. El ataque en una subred no afecta a los dispositivos de ninguna otra subred. Por lo tanto, los recursos importantes se pueden colocar en un segmento dedicado con alta seguridad.
5. Cifrado: el cifrado no ayuda a prevenir el envenenamiento por ARP; sin embargo, ayuda a mitigar el daño que podría ocurrir en caso de ataques. Como en el caso de los ataques MiTM, las credenciales de inicio de sesión se roban de la red. Sin embargo, con tecnologías como SSL y TLS, los datos en forma cifrada pueden ser robados, pero el atacante puede leerlos, dejándolos inútiles para el atacante.
Publicación traducida automáticamente
Artículo escrito por shikha19b131014 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA