By: adminPosted on

El envenenamiento ARP es un tipo de ciberataque que abusa de las debilidades del ampliamente utilizado Protocolo de Resolución de Direcciones (ARP) para interrumpir, redirigir o espiar el tráfico de red. En esta pieza, echaremos un vistazo rápido a la necesidad de ARP, las debilidades que permiten el envenenamiento por ARP y lo que puede hacer para mantener a su organización segura.

¿Qué es ARP?

El Protocolo de Resolución de direcciones (ARP) existe para admitir el enfoque por capas utilizado desde los primeros días de las redes informáticas. Las funciones de cada capa, desde las señales eléctricas que viajan a través de un cable Ethernet hasta el código HTML utilizado para representar una página web, funcionan en gran medida independientes unas de otras. Así es como podemos usar IPv4, una tecnología de capa de red que data de principios de la década de 1980, con tecnologías más nuevas como Wi – Fi y Bluetooth: Las capas físicas y de enlace de datos inferiores manejan los detalles de la transferencia de datos a través de un medio específico como las ondas de radio.

El propósito de ARP es traducir entre direcciones en la capa de enlace de datos, conocidas como direcciones MAC, y direcciones en la capa de red, que generalmente son direcciones IP. Permite a los dispositivos en red «preguntar» a qué dispositivo se le asigna actualmente una dirección IP determinada. Los dispositivos también pueden anunciar esta asignación al resto de la red sin que se les solicite. Por motivos de eficiencia, los dispositivos suelen almacenar en caché estas respuestas y crear una lista de asignaciones actuales de MAC a IP.

¿Qué es la intoxicación por ARP?

El envenenamiento ARP consiste en abusar de las debilidades de ARP para corromper las asignaciones de MAC a IP de otros dispositivos de la red. La seguridad no era una preocupación primordial cuando se introdujo ARP en 1982, por lo que los diseñadores del protocolo nunca incluyeron mecanismos de autenticación para validar mensajes ARP. Cualquier dispositivo de la red puede responder a una solicitud ARP, independientemente de si el mensaje original estaba destinado a él o no. Por ejemplo, si la computadora A «pide» la dirección MAC de la Computadora B, un atacante de la Computadora C puede responder y la computadora A aceptaría esta respuesta como auténtica. Este descuido ha hecho posible una variedad de ataques. Al aprovechar herramientas fácilmente disponibles, un agente de amenazas puede «envenenar» la caché ARP de otros hosts en una red local, llenando la caché ARP con entradas inexactas.

Pasos de Ataque de Envenenamiento ARP

Los pasos exactos de un ataque de envenenamiento ARP pueden variar, pero generalmente consisten en al menos lo siguiente:

El atacante Selecciona una Máquina o Máquinas de la Víctima

El primer paso en la planificación y realización de un ataque de envenenamiento ARP es seleccionar un Objetivo. Puede ser un punto final específico de la red, un grupo de puntos finales o un dispositivo de red como un enrutador. Los enrutadores son objetivos atractivos porque un ataque de envenenamiento ARP exitoso contra un enrutador puede interrumpir el tráfico de una subred completa.

El atacante Lanza Herramientas y comienza el Ataque

Una amplia variedad de herramientas están fácilmente disponibles para cualquier persona que busque llevar a cabo un ataque de envenenamiento por ARP. Después de lanzar la herramienta de su elección y configurar los ajustes aplicables, el atacante comenzará el ataque. Pueden comenzar a transmitir mensajes ARP de inmediato o esperar hasta que se reciba una solicitud.

El atacante Hace Algo con el Tráfico Dirigido Incorrectamente

Una vez que la caché ARP en una máquina o máquinas de la víctima se ha dañado, el atacante normalmente realizará algún tipo de acción con el tráfico dirigido incorrectamente. Pueden inspeccionarlo, alterarlo o hacer que sea «blackholed» y nunca llegar a su destino previsto. La acción exacta depende de los motivos del atacante.

Tipos de ataques de envenenamiento ARP

Hay dos formas generales en las que puede ocurrir un ataque de envenenamiento ARP: El atacante puede esperar a ver las solicitudes ARP de un objetivo en particular y emitir una respuesta, o enviar un mensaje de transmisión no solicitado conocido como «ARP gratuito». El primer enfoque es menos perceptible en la red, pero potencialmente de menor alcance en sus impactos. Un ARP gratuito puede ser más inmediato e impactar a un mayor número de víctimas, pero tiene el inconveniente de generar mucho tráfico de red. En cualquiera de los dos enfoques, la(s) caché (s) de ARP corrupta (s) en las máquinas víctimas puede (n) aprovecharse para otros fines:

Ataque Man-in-the-Middle (MiTM)

Los ataques MiTM son probablemente el objetivo más común, y potencialmente más peligroso, del envenenamiento por ARP. El atacante envía respuestas ARP falsificadas para una dirección IP determinada, normalmente la puerta de enlace predeterminada para una subred en particular. Esto hace que las máquinas víctimas llenen su caché ARP con la dirección MAC de la máquina del atacante, en lugar de la dirección MAC del enrutador local. Las máquinas víctimas redirigirán incorrectamente el tráfico de red al atacante. Herramientas como Ettercap permiten al atacante actuar como proxy, ver o modificar información antes de enviar el tráfico a su destino previsto. Para la víctima, todo puede parecer normal.

Unir el envenenamiento por ARP con el envenenamiento por DNS puede aumentar drásticamente la efectividad de un ataque MiTM. En este escenario, un usuario víctima podría escribir un sitio legítimo como google.com y recibir la dirección IP de la máquina del atacante, en lugar de la dirección correcta.

Ataque de denegación de servicio (DoS)

Un ataque DoS tiene como objetivo negar a una o más víctimas el acceso a los recursos de red. En el caso de ARP, un atacante puede enviar mensajes de respuesta ARP que mapean falsamente cientos o incluso miles de direcciones IP a una sola dirección MAC, lo que puede abrumar a la máquina de destino. Este tipo de ataque, a veces conocido como inundación ARP, también se puede usar para atacar conmutadores, lo que puede afectar el rendimiento de toda la red.

Secuestro de sesión

Los ataques de secuestro de sesión son de naturaleza similar a Man-in-the-Middle, excepto que el atacante no reenvía directamente el tráfico desde la máquina víctima a su destino previsto. En su lugar, el atacante capturará un número de secuencia TCP genuino o una cookie web de la víctima y lo usará para asumir la identidad de la víctima. Esto podría usarse, por ejemplo, para acceder a la cuenta de redes sociales de un usuario objetivo si está conectado.

¿Cuál es el Objetivo de un Ataque de Envenenamiento por ARP?

Los hackers tienen una amplia variedad de motivos, y el envenenamiento por ARP no es una excepción. Un atacante puede llevar a cabo un ataque de envenenamiento ARP por varias razones, que van desde espionaje de alto nivel hasta la emoción de crear caos en la red. En un escenario potencial, un atacante utilizará mensajes ARP falsificados para asumir el papel de puerta de enlace predeterminada para una subred determinada, dirigiendo efectivamente todo el tráfico a la máquina del atacante en lugar del enrutador local. A continuación, pueden espiar, modificar o eliminar el tráfico. Estos ataques son «ruidosos» en el sentido de que dejan evidencia, pero no necesitan interferir con el funcionamiento real de la red. Si el objetivo es el espionaje, la máquina atacante simplemente redirigirá el tráfico a su destino original, sin dar al usuario final ninguna indicación de que algo haya cambiado.

Por otro lado, el objetivo de un ataque DoS podría ser crear una interrupción muy notable en el funcionamiento de la red. Si bien esto podría estar dirigido a privar a una empresa de su capacidad de operar, los ataques DoS a menudo son llevados a cabo por atacantes menos calificados para el mero placer de crear problemas.

Los ataques internos son de especial preocupación cuando se piensa en envenenamiento por ARP. Los mensajes ARP falsificados no llegarán más allá de los límites de una red local, por lo que el ataque debe originarse en un dispositivo conectado localmente. No es imposible que un forastero inicie un ataque ARP, pero primero tendría que comprometer remotamente un sistema local a través de otros medios. Un insider, mientras tanto, solo necesitaría acceso a la red y algunas herramientas de fácil acceso.

Suplantación de ARP vs Envenenamiento por ARP

ilustración de envenenamiento por arp vs suplantación de arp

Los términos Suplantación de ARP y envenenamiento por ARP generalmente se usan indistintamente. Técnicamente, la suplantación se refiere a un atacante que se hace pasar por la dirección MAC de otra máquina, mientras que el envenenamiento denota el acto de corromper las tablas ARP en una o más máquinas víctimas. En la práctica, sin embargo, ambos son subelementos del mismo ataque, y en el lenguaje general, ambos términos se utilizan para referirse al ataque en su conjunto. Otros términos similares podrían incluir envenenamiento de caché ARP o corrupción de tabla ARP.

¿Cuáles son los efectos de un ataque de Envenenamiento por ARP?

El impacto más directo de un ataque de envenenamiento ARP es que el tráfico destinado a uno o más hosts en la red local se dirigirá a un destino elegido por el atacante. Exactamente qué efecto tendrá esto depende de las características específicas del ataque. El tráfico podría enviarse a la máquina del atacante o a una ubicación inexistente. En el primer caso, puede que no haya ningún efecto observable, mientras que el segundo puede inhibir el acceso a la red.

El envenenamiento de caché ARP en sí no tendrá un impacto duradero. Las entradas ARP se almacenan en caché desde unos minutos en dispositivos finales hasta varias horas para conmutadores. Tan pronto como un atacante deje de envenenar activamente las tablas, las entradas corruptas simplemente envejecerán y el flujo de tráfico adecuado pronto se reanudará. El envenenamiento por ARP por sí solo no dejará una infección permanente ni un punto de apoyo en las máquinas víctimas. Sin embargo, los hackers a menudo encadenan muchos tipos de ataques, y el envenenamiento por ARP se puede usar en parte de una campaña más grande.

Cómo Detectar un Ataque de Envenenamiento por Caché ARP

Existe una variedad de software comercial y de código abierto para detectar envenenamiento de caché ARP, pero puede verificar fácilmente las tablas ARP en su propio equipo sin instalar nada. En la mayoría de los sistemas Windows, Mac y Linux, al emitir el comando «arp-a» desde una terminal o línea de comandos, se mostrarán las asignaciones de direcciones IP a MAC actuales de la máquina.

Herramientas como arpwatch y X-ARP son útiles para el monitoreo continuo de la red y pueden alertar a un administrador si se ven signos de un Ataque de Envenenamiento de Caché ARP. Sin embargo, los falsos positivos son una preocupación y pueden crear un gran número de alertas no deseadas.

Cómo prevenir Ataques de envenenamiento ARP

ilustración de consejos para la prevención de envenenamiento arp

Existen varios enfoques para prevenir ataques de envenenamiento ARP:

Tablas ARP estáticas

Es posible asignar estáticamente todas las direcciones MAC de una red a sus direcciones IP legítimas. Esto es muy eficaz para prevenir los ataques de envenenamiento por ARP, pero añade una enorme carga administrativa. Cualquier cambio en la red requerirá actualizaciones manuales de las tablas ARP en todos los hosts, lo que hace que las tablas ARP estáticas sean inviables para la mayoría de las organizaciones más grandes. Sin embargo, en situaciones en las que la seguridad es crucial, crear un segmento de red separado en el que se utilicen tablas ARP estáticas puede ayudar a proteger la información crítica.

Seguridad de conmutadores

La mayoría de los conmutadores Ethernet administrados cuentan con características diseñadas para mitigar los ataques de envenenamiento ARP. Normalmente conocidas como Inspección Dinámica ARP (DAI), estas características evalúan la validez de cada mensaje ARP y paquetes de caída que parecen sospechosos o maliciosos. DAI también se puede configurar para limitar la velocidad a la que los mensajes ARP pueden pasar a través del conmutador, previniendo de manera efectiva los ataques DoS.

DAI y características similares alguna vez fueron exclusivas de equipos de red de alta gama, pero ahora son comunes en casi todos los switches de nivel empresarial, incluidos los que se encuentran en las empresas más pequeñas. Por lo general, se considera una práctica recomendada habilitar DAI en todos los puertos, excepto en aquellos conectados a otros switches. La función no tiene un impacto significativo en el rendimiento, pero es posible que deba habilitarse junto con otras funciones como el espionaje DHCP.

Habilitar la seguridad de puertos en un conmutador también puede ayudar a mitigar los ataques de envenenamiento de caché ARP. La seguridad de puertos se puede configurar para permitir una sola dirección MAC en un puerto de conmutador, privando al atacante de la posibilidad de asumir de forma maliciosa varias identidades de red.

Seguridad física

Controlar correctamente el acceso físico a su lugar de trabajo puede ayudar a mitigar los ataques de envenenamiento por ARP. Los mensajes ARP no se enrutan más allá de los límites de la red local, por lo que los posibles atacantes deben estar cerca físicamente de la red de la víctima o ya tener el control de una máquina en la red. Tenga en cuenta que en el caso de las redes inalámbricas, la proximidad no significa necesariamente que el atacante necesite acceso físico directo; una señal se extiende a una calle o estacionamiento puede ser suficiente. Ya sea por cable o inalámbrico, el uso de tecnología como el 802.1x puede garantizar que solo los dispositivos de confianza y / o administrados puedan conectarse a la red.

Aislamiento de red

Como se indicó anteriormente, los mensajes ARP no viajan más allá de la subred local. Esto significa que una red bien segmentada puede ser menos susceptible al envenenamiento de caché ARP en general, ya que un ataque en una subred no puede afectar a los dispositivos de otra. Concentrar recursos importantes en un segmento de red dedicado donde la seguridad mejorada está presente puede disminuir en gran medida el impacto potencial de un ataque de envenenamiento por ARP.

Cifrado

Si bien el cifrado en realidad no evita que se produzca un ataque ARP, puede mitigar el daño potencial. Un uso popular de los ataques MiTM era capturar credenciales de inicio de sesión que antes se transmitían comúnmente en texto plano. Con el uso generalizado del cifrado SSL/TLS en la web, este tipo de ataque se ha vuelto más difícil. El actor de la amenaza aún puede interceptar el tráfico, pero no puede hacer nada con él en su forma cifrada.

Solo una de las muchas amenazas

Aunque ha existido por mucho más tiempo que las amenazas modernas como el ransomware, el envenenamiento por ARP sigue siendo una amenaza que las organizaciones deben abordar. Al igual que todas las amenazas cibernéticas, se aborda mejor a través de un programa integral de seguridad de la información. Una solución como la Detección y Respuesta de amenazas Varonis puede ayudarlo a hacerse una idea de la postura de seguridad general de su organización. Varonis Edge puede ayudar a detectar signos de exfiltración de datos que pueden ocurrir después de que se haya producido un ataque de envenenamiento por ARP.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.