ARP Spoofing: “el peligro que acecha en la red local”

Se puede hablar en este caso de ARP spoofing o envenenamiento de tablas ARP, un ataque man in the middle  (ataque de hombre en el medio por su nomenclatura en español) que permite a los hackers interferir entre dos sistemas sin ser vistos. Las tablas ARP, que contienen las direcciones y sus equivalencias, se pueden manipular fácilmente mediante paquetes de datos falsificados.

Con cortafuegos, servidores proxy y zonas desmilitarizadas (DMZ); el equipamiento en seguridad de las grandes empresas para protegerse de los riesgos procedentes de Internet crece constantemente. Sin embargo, los ataques no siempre provienen del exterior.

El talón de Aquiles de la cadena de seguridad es, con frecuencia, la red local o LAN. Por lo tanto, si un atacante ha conseguido infiltrarse en la red interna; tiene generalmente todas las puertas abiertas para interceptar el tráfico de datos y manipularlo a su conveniencia.

Por otro lado, los hackers se benefician en este caso de la alta vulnerabilidad que presenta el protocolo ARP (del inglés Address Resolution Protocol); usado en redes Ethernet basadas en IPv4 para resolver direcciones IP en direcciones MAC, situando a los administradores, hasta hoy, ante un importante problema para la seguridad.

¿Qué es el ARP Spoofing?

Este patrón de petición y respuesta del protocolo de resolución de direcciones está programado de tal manera que la primera respuesta a una petición; la misma es la que se acepta y se almacena.

Cuando llevan a cabo una acción de ARP Spoofing, la intención del hacker es la de adelantarse al propio ordenador de destino; por lo tanto,  enviar un paquete de respuesta con información falsa y, de esta manera, manipular la tabla ARP del ordenador que hizo la petición. También hace que este ataque se le denomine también ARP poisoning o envenenamiento de tablas de ARP.

Por regla general, el paquete de datos de respuesta contiene la dirección MAC de un dispositivo de la red controlado por el atacante. El sistema “engañado” asocia, de esta manera, la IP de salida con una dirección física falsa; pero en el futuro, sin saberlo, envía todos los paquetes de datos al sistema controlado por el hacker. Este tiene la posibilidad de espiar, registrar o manipular el tráfico de datos por completo.

Medidas de protección frente al ARP spoofing

Al aprovecharse del funcionamiento del protocolo de resolución de direcciones, el envenenamiento de tablas ARP puede afectar, en principio, a todas las redes IPv4.

Este problema tampoco lo ha podido resolver la introducción de la versión 6 del protocolo (IPv6).

Asimismo el nuevo estándar renuncia a las tablas ARP, pero regula la resolución de direcciones en la LAN mediante el protocolo NDP (Neighbor Discovery Protocol); también propenso a ataques de spoofing. Esta vulnerabilidad solo se cubre con el protocolo Secure Neighbor Discovery (SEND), que solo soportan unos pocos sistemas operativos de escritorio.

Ante la manipulación del caché ARP, los registros de ARP estáticos, que en Windows pueden cifrarse con el programa ARP (comando arp –s), el cual representan cierta protección a la información , pero al tener que realizarlos manualmente, esta medida de protección suele aplicarse solo a los sistemas más importantes de la red.

criptominer - ARP spoofing

Otra forma de protegerse contra el abuso de tablas ARP consiste en subdividir la red mediante conmutadores de capa 3; y de esta forma que las peticiones de difusión incontroladas solo afectan a los sistemas dentro de un mismo segmento.

Las que llegan a otros segmentos son examinados por el conmutador. Si este trabaja a nivel de la red (capa 3); además de la MAC también compara la dirección IP con registros precedentes. Si se encuentran incongruencias o reordenaciones frecuentes, el conmutador hace saltar la alarma.

Sin embargo, este hardware está ligado a altos costes de adquisición; por lo que los administradores se encuentran a menudo ante la incómoda disyuntiva de decidir si el aumento de la seguridad justifica el gasto financiero. Los conmutadores de capa 2 tradicionales, mucho más asequibles, no son convenientes, porque, aun cuando son capaces de registrar un cambio de la dirección MAC, ignoran la dirección IP a la que corresponde.

Muchos fabricantes ofrecen programas de monitorización con los cuales se pueden supervisar redes y detectar procesos llamativos. Las herramientas más conocidas son los programas de código abierto Arpwatch, ARP-Guard y XArp. También es posible utilizar sistemas de detección de intrusos como Snort para supervisar la resolución de dirección vía ARP.

criptominer - ARP spoofing

Arpwatch: integrada en una red local IPv4, esta herramienta independiente de la plataforma registra todas las actividades de tipo ARP en la LAN. El programa extrae las direcciones de todos los paquetes ARP entrantes y las guarda en una base de datos central. Si se detectan registros antiguos que no coinciden con los datos actuales, se envía un correo de aviso al administrador. Aunque este sistema es efectivo, solo es adecuado para redes con direcciones IP estáticas. Si las IP en una LAN; son distribuidas de forma dinámica con un servidor DHCP, cada cambio en la asignación de IP/MAC genera una alarma.

ARP-Guard: ARP-Guard, desarrollado por la empresa alemana ISL, se apoya en dos sensores diferentes para llevar a cabo la supervisión de la red interna. El sensor LAN, de forma similar a Arpwatch, analiza los paquetes de datos entrantes y dispara la alarma en caso de discordancias. El sensor SNMP, por su parte, accede a los dispositivos conectados en la LAN a través delSimple Network Management Protocol (SNMP) y lee sus tablas ARP. De esta forma, no solo se pueden localizar y repeler ataques ARP, sino que la gestión de direcciones integrada permite detectar dispositivos extraños e impedir su acceso a la red.

 XArp: el software de XArp recurre a módulos activos y pasivos para proteger la red del ARP spoofing. Los pasivos analizan paquetes ARP; enviados en la red y comparan las direcciones tal y como están asociadas a registros más antiguos. Si se detectan incongruencias, salta la alarma. El mecanismo de control apoyo; para ello, en análisis estadísticos y comprueba el tráfico en la red; a partir de varios patrones que, a juicio de los desarrolladores, caracterizan a los ataques de ARP. La sensibilidad de estos filtros de tráfico se puede ajustar en varios niveles. Los módulos activos, por su parte, envían ellos mismos paquetes a la red; para validar las tablas ARP de los dispositivos contactados y suministrarles datos válidos.

El sistema de detección de intrusos (IDS) Snort también dispone de un preprocesador Arpspoof integrado;  permite supervisar el tráfico de datos en la red; elaborar manualmente listas de comparación, aunque con lleva mucho más trabajo y suelen utilizarse en la transición a redes externas.

Decidir si es rentable aplicarlo dentro de la LAN depende de cada caso en particular. A nivel corporativo, esta medida suele encontrarse con la oposición de los comités de empresa; porque el administrador que supervisa la red con IDS tiene acceso al tráfico completo en la red; de esta manera, también sobre todas las actividades de los empleados de la empresa.



Add a Comment