El envenenamiento ARP es un tipo de ciberataque que aprovecha las debilidades en el Protocolo de resolución de direcciones (ARP) ampliamente utilizado para interrumpir, redirigir o monitorear el tráfico de la red. En este artículo, analizaremos rápidamente por qué necesita ARP, analizaremos las debilidades que hacen posible el envenenamiento por ARP y lo que puede hacer para mantener su organización segura.
¿Qué es ARP?
ARP es para determinar la dirección MAC a partir de la dirección IP de otra computadora. ARP permite a los dispositivos conectados a una red consultar qué dispositivo tiene asignada actualmente una dirección IP específica. Los dispositivos también pueden comunicar esta asignación al resto de la red sin preguntar. Para mayor eficiencia, los dispositivos generalmente almacenan en caché estas respuestas y crean una lista de asignaciones MAC-IP actuales.
¿Qué es la intoxicación por ARP?
El envenenamiento de ARP (suplantación de identidad) es el uso de debilidades de ARP para interrumpir las asignaciones de MAC-IP a otros dispositivos de la red. En 1982, cuando se introdujo el protocolo ARP, la seguridad no era una preocupación principal, por lo que los desarrolladores del protocolo nunca usaron mecanismos de autenticación para validar los mensajes ARP. Cualquier dispositivo de la red puede responder a una solicitud de ARP, independientemente de si es el destinatario de la solicitud o no. Por ejemplo, si la computadora A solicita la dirección MAC de la computadora B, un atacante en la computadora C puede responder y la computadora A aceptará la respuesta como válida. Debido a esta vulnerabilidad, se llevaron a cabo una gran cantidad de ataques. Usando herramientas fácilmente disponibles, un atacante puede envenenar la caché ARP de otros hosts en la red local, llenándola con datos incorrectos.
Etapas de envenenamiento por ARP
Las etapas de la intoxicación por ARP pueden variar, pero generalmente la lista mínima es la siguiente:
- El atacante elige la máquina o máquinas víctimas
El primer paso en la planificación e implementación de un ataque de envenenamiento ARP es apuntar. Puede ser un punto final específico en una red, un grupo de puntos finales o un dispositivo de red como un enrutador. Los enrutadores son objetivos atractivos porque el envenenamiento exitoso de ARP del enrutador puede interrumpir el tráfico de una subred completa. -
, ARP, . . ARP . -
ARP () - . , « », . .
ARP Poisoning
Hay dos formas principales de envenenar ARP: un atacante puede esperar una solicitud ARP para un objetivo específico y responder a ella, o utilizar solicitudes ARP gratuitas. La primera respuesta será menos visible en la web, pero su impacto potencial también será menor. Las solicitudes ARP autodirigidas pueden ser más efectivas y afectar a más víctimas, pero tienen la desventaja de generar mucho tráfico de red. Con cualquiera de los enfoques, una caché ARP dañada en los dispositivos de la víctima se puede utilizar para otros fines:
Ataques de intermediario
Los ataques MiTM son probablemente el objetivo más común y potencialmente más peligroso del envenenamiento por ARP. El atacante envía respuestas ARP falsas a la dirección IP especificada (generalmente la puerta de enlace predeterminada para una subred en particular). Esto obliga a los dispositivos de la víctima a llenar su caché ARP con la dirección MAC del atacante en lugar de la dirección MAC del enrutador local. A continuación, los dispositivos de la víctima reenvían incorrectamente el tráfico de red al atacante. Herramientas como Ettercap permiten que un atacante actúe como un proxy al ver o modificar información antes de enviar tráfico a su destino. Al mismo tiempo, es posible que la víctima no note ningún cambio en el trabajo. Envenenamiento
simultáneo por ARP y por DNSpuede mejorar significativamente la efectividad de un ataque MiTM. En este escenario, el usuario víctima puede ingresar la dirección de un sitio legítimo (por ejemplo, google.com) y obtener la dirección IP de la máquina del atacante en lugar de la correcta.
Denegación de servicio (DoS)
Un ataque DoS es cuando a una o más víctimas se les niega el acceso a los recursos de la red. En el caso de ARP, un atacante podría enviar una respuesta ARP que asigna falsamente cientos o incluso miles de direcciones IP a una sola dirección MAC, lo que podría sobrecargar el dispositivo de destino. Este tipo de ataque, a veces llamado ARP flooding (ARP flooding), también puede apuntar a conmutadores, lo que podría afectar el rendimiento de toda la red.
Secuestro de sesión
El secuestro de sesiones es de naturaleza similar a MiTM, excepto que el atacante no redirigirá directamente el tráfico de la máquina de la víctima al dispositivo objetivo. En su lugar, captura la cookie o el número de secuencia TCP genuino de la víctima y lo usa para hacerse pasar por la víctima. Entonces, puede, por ejemplo, obtener acceso a la cuenta de un usuario determinado en la red social, si está conectado a ella.
¿Cuál es el propósito de la intoxicación por ARP?
Los piratas informáticos siempre tienen una variedad de motivos, incluso cuando llevan a cabo un envenenamiento por ARP, que van desde el espionaje de alto nivel hasta la emoción de crear el caos en la red. En un escenario posible, un atacante podría usar mensajes ARP falsos para asumir el rol de puerta de enlace predeterminada para una subred determinada, dirigiendo de manera efectiva todo el tráfico a su dispositivo en lugar del enrutador local. Luego puede monitorear el tráfico, cambiarlo o deshacerse de él. Estos ataques son “ruidosos” porque dejan evidencia pero no necesariamente afectan el funcionamiento de la red. Si el objetivo del ataque es el espionaje, la máquina del atacante simplemente redirige el tráfico al destinatario original, sin darle ninguna razón para sospechar que algo ha cambiado.
Otro objetivo podría ser una interrupción significativa de la red. Por ejemplo, no es raro que los piratas informáticos menos experimentados realicen ataques DoS simplemente para disfrutar de los problemas que crean. Los ataques internos
son un tipo peligroso de envenenamiento por ARP . Los mensajes ARP falsificados no salen de la red local, por lo que el ataque debe provenir del dispositivo local. Un dispositivo externo también puede potencialmente iniciar un ataque ARP, pero primero necesita comprometer remotamente el sistema local de otras formas, mientras que el interno solo necesita una conexión de red y algunas herramientas disponibles.
Suplantación de ARP vs envenenamiento por ARP
Los términos suplantación de ARP y envenenamiento de ARP se utilizan comúnmente como sinónimos. Técnicamente, la suplantación de identidad significa que un atacante da su dirección como la dirección MAC de otra computadora, mientras que la suplantación de identidad (spoofing) se refiere al daño a las tablas ARP en una o más máquinas víctimas. En la práctica, sin embargo, estos son elementos del mismo ataque. Este ataque también se denomina a veces "envenenamiento de la caché ARP" o "corrupción de la tabla ARP".
Consecuencias de los ataques de envenenamiento por ARP
El efecto principal del envenenamiento de ARP es que el tráfico destinado a uno o más hosts en la red local se dirige a un dispositivo elegido por el atacante. Las consecuencias específicas de un ataque dependen de sus características específicas. El tráfico puede dirigirse a la máquina del atacante oa una ubicación inexistente. En el primer caso, puede que no haya un efecto notable, mientras que en el segundo, el acceso a la red puede estar bloqueado.
Por sí solo, el envenenamiento de la caché ARP no tiene un impacto duradero. Las entradas de ARP se almacenan en caché desde unos pocos minutos en los puntos finales hasta varias horas en los conmutadores. Tan pronto como un atacante deja de infectar activamente las tablas, los registros corruptos simplemente expiran y el tráfico normal pronto se reanudará. Por sí mismo, el envenenamiento por ARP no deja una infección permanente o puntos de apoyo en las máquinas de las víctimas. Sin embargo, no es raro que los piratas informáticos lleven a cabo una serie de ataques en cadena, y el envenenamiento por ARP puede ser parte de un ataque mayor.
Cómo detectar el envenenamiento de la caché ARP
Hay muchos programas de código abierto y de pago disponibles para detectar el envenenamiento de la caché de ARP, pero puede consultar las tablas de ARP en su computadora incluso sin instalar un software especial. En la mayoría de los sistemas Windows, Mac y Linux, al escribir arp-a en una terminal o símbolo del sistema, se mostrarán las asignaciones de direcciones IP y MAC actuales de la máquina.
Herramientas como arpwatch y X-ARP permiten el monitoreo continuo de la red y pueden alertar al administrador cuando se detectan signos de envenenamiento de la caché ARP. Sin embargo, la probabilidad de falsos positivos es bastante alta.
Cómo prevenir la intoxicación por ARP
Existen varios métodos para prevenir la intoxicación por ARP:
Tablas ARP estáticas
Puede asignar estáticamente todas las direcciones MAC de la red a sus correspondientes direcciones IP. Esto es muy eficaz para prevenir la intoxicación por ARP, pero requiere mucha mano de obra. Cualquier cambio en la red requerirá la actualización manual de las tablas ARP en todos los hosts y, por lo tanto, para la mayoría de las organizaciones grandes, el uso de tablas ARP estáticas no es práctico. Pero en situaciones donde la seguridad es primordial, la asignación de un segmento de red separado para tablas ARP estáticas puede ayudar a proteger la información crítica.
Interruptor de protección
La mayoría de los conmutadores Ethernet administrados están equipados con funciones de prevención de ataques de envenenamiento ARP. Estas características, conocidas como inspección ARP dinámica (DAI), evalúan la validez de cada mensaje ARP y descartan los paquetes que parecen sospechosos o maliciosos. DAI también puede limitar la velocidad a la que los mensajes ARP pasan a través del conmutador, previniendo eficazmente los ataques DoS.
DAI y funciones similares alguna vez estuvieron disponibles exclusivamente para equipos de red de alto rendimiento, pero ahora están presentes en casi todos los conmutadores de clase empresarial, incluidos los utilizados en pequeñas empresas. Por lo general, se recomienda habilitar DAI en todos los puertos excepto en los conectados a otros conmutadores. Esta función no tiene un impacto significativo en el rendimiento; al mismo tiempo, junto con él, es posible que deba habilitar otras funciones, por ejemplo, DHCP Snooping.
Habilitar la seguridad del puerto en un conmutador también puede ayudar a minimizar los efectos del envenenamiento de la caché ARP. La seguridad del puerto se puede configurar para permitir solo una dirección MAC en un puerto de conmutador, lo que hace imposible que un atacante use múltiples ID de red.
Proteccion fisica
El control adecuado del acceso físico al lugar de trabajo del usuario también ayudará a prevenir ataques de envenenamiento por ARP. Los mensajes ARP no salen de la red local, por lo que los atacantes potenciales deben estar físicamente cerca de la red de la víctima o ya tener control sobre una máquina en la red. Tenga en cuenta que en el caso de una red inalámbrica, la proximidad no significa necesariamente un acceso físico directo: la señal que llega al patio o al estacionamiento puede ser suficiente. Independientemente del tipo de conexión (cableada o inalámbrica), el uso de una tecnología como 802.1x puede garantizar que solo los dispositivos administrados o confiables se conecten a la red.
Aislamiento de la red
Una red bien segmentada puede ser menos susceptible al envenenamiento de la caché ARP en general, ya que un ataque a una subred no afecta a los dispositivos de la otra. La concentración de recursos críticos en un segmento de red dedicado con medidas de seguridad más estrictas puede reducir significativamente el impacto potencial de un ataque de envenenamiento ARP.
Cifrado
Si bien el cifrado no evita un ataque ARP, puede reducir el daño potencial. Anteriormente, un objetivo popular de los ataques MiTM era obtener credenciales de inicio de sesión, que alguna vez se transmitieron en texto sin formato. Con la proliferación del cifrado SSL / TLS, estos ataques se han vuelto más difíciles de llevar a cabo.
Solo una de las muchas amenazas
Aunque la tecnología de envenenamiento ARP apareció mucho antes que muchos malware modernos, como los virus ransomware , ARP Poisoning sigue siendo una amenaza que debe combatirse. Al igual que con todas las demás amenazas cibernéticas, es mejor hacerlo de manera integral. Las soluciones de respuesta y detección de amenazas lo ayudan a comprender el nivel de seguridad general de su organización. Y soluciones como Varonis Edge pueden detectar signos de fuga de datos después de una intoxicación por ARP.