Envenenamento ARP é um tipo de cibernético que os abusos fraquezas, que é amplamente utilizado Protocolo de Resolução de Endereço (ARP) perturbar, de redirecionamento, ou espionar o tráfego de rede. Nesta peça, veremos rapidamente a necessidade de ARP, os pontos fracos que permitem o envenenamento por ARP e o que você pode fazer para manter sua organização segura.
o que é ARP?
o protocolo de resolução de endereços (Arp) existe para suportar a abordagem em camadas usada desde os primeiros dias da rede de computadores. As funções de cada camada, desde os sinais elétricos que viajam através de um cabo Ethernet até o código HTML usado para renderizar uma página da web, operam amplamente independentes uns dos outros. É assim que podemos usar IPv4 – uma tecnologia de camada de rede que data do início dos anos 1980 – com tecnologias mais recentes como Wi-Fi e Bluetooth: as camadas físicas e de link de dados inferiores lidam com as especificidades da transferência de dados em um meio específico, como ondas de rádio.
o objetivo do ARP é traduzir entre endereços na camada de Link de dados – conhecida como endereços MAC – e endereços na camada de rede, que normalmente são endereços IP. Ele permite que dispositivos em rede “perguntem” qual dispositivo está atualmente atribuído a um determinado endereço IP. Os dispositivos também podem anunciar esse mapeamento para o resto da rede sem serem solicitados. Por uma questão de eficiência, os dispositivos normalmente armazenam essas respostas em cache e criam uma lista de mapeamentos atuais de MAC para IP.
o que é envenenamento por ARP?
o envenenamento por ARP consiste em abusar das fraquezas do ARP para corromper os mapeamentos MAC-to-IP de outros dispositivos na rede. A segurança não era uma preocupação primordial quando o ARP foi introduzido em 1982, então os projetistas do protocolo nunca incluíram mecanismos de autenticação para validar mensagens ARP. Qualquer dispositivo na rede pode responder a uma solicitação ARP, se a mensagem original foi destinada a ela ou não. Por exemplo, se o computador a “pedir” o endereço MAC do computador B, um invasor no computador C pode responder e o computador a aceitaria essa resposta como autêntica. Essa supervisão tornou possível uma variedade de ataques. Ao aproveitar as ferramentas facilmente disponíveis, um ator de ameaça pode “envenenar” o cache ARP de outros hosts em uma rede local, preenchendo o cache ARP com entradas imprecisas. As etapas exatas de um ataque de envenenamento por ARP podem variar, mas geralmente consistem em pelo menos o seguinte:
o atacante seleciona uma máquina ou máquinas da vítima
o primeiro passo no planejamento e condução de um ataque de envenenamento por ARP é selecionar um alvo. Isso pode ser um endpoint específico na rede, um grupo de endpoints ou um dispositivo de rede como um roteador. Os roteadores são alvos atraentes porque um ataque bem-sucedido de envenenamento por ARP contra um roteador pode interromper o tráfego de uma sub-rede inteira.
atacante lança Ferramentas e começa o ataque
uma grande variedade de ferramentas estão facilmente disponíveis para quem quer realizar um ataque de envenenamento ARP. Depois de iniciar a ferramenta de sua escolha e configurar as configurações aplicáveis, o invasor iniciará o ataque. Eles podem começar imediatamente a transmitir mensagens ARP ou esperar até que uma solicitação seja recebida.
o invasor faz algo com o tráfego direcionado incorretamente
uma vez que o cache ARP em uma máquina ou máquinas vítimas foi corrompido, o invasor normalmente executará algum tipo de ação com o tráfego direcionado incorretamente. Eles podem inspecioná-lo, alterá-lo ou fazer com que seja “blackholed” e nunca chegar ao seu destino pretendido. A ação exata depende dos motivos do atacante.
tipos de ataques de envenenamento por ARP
existem duas maneiras gerais pelas quais um ataque de envenenamento por ARP pode ocorrer: o invasor pode esperar para ver os pedidos de ARP para um determinado alvo e emitir uma resposta ou enviar uma mensagem de transmissão não solicitada conhecida como “ARP gratuito”. A primeira abordagem é menos perceptível na rede, mas potencialmente menos abrangente em seus impactos. Um ARP gratuito pode ser mais imediato e impactar um número maior de vítimas, mas vem com a desvantagem de gerar muito tráfego de rede. Em qualquer abordagem, o(S) Cache (s) ARP corrompido (s) em máquinas vítimas podem ser aproveitados para fins adicionais:
ataque Man-in-the-Middle (MiTM)
os ataques MiTM são provavelmente o objetivo mais comum e potencialmente mais perigoso de envenenamento por ARP. O invasor envia respostas ARP Falsificadas para um determinado endereço IP, normalmente o gateway padrão para uma sub-rede específica. Isso faz com que as máquinas vítimas preencham seu cache ARP com o endereço MAC da máquina do invasor, em vez do endereço MAC do roteador local. As máquinas vítimas encaminharão incorretamente o tráfego de rede para o invasor. Ferramentas como o Ettercap permitem que o invasor atue como um proxy, visualizando ou modificando informações antes de enviar o tráfego para o destino pretendido. Para a vítima, tudo pode parecer normal.
casar-se com envenenamento por ARP com envenenamento por DNS pode aumentar drasticamente a eficácia de um ataque de MiTM. Nesse cenário, um usuário vítima pode digitar um site legítimo, como google.com e receba o endereço IP da máquina do invasor, em vez do endereço legítimo.
ataque de negação de Serviço (DoS)
um ataque DoS Visa negar a uma ou mais vítimas o acesso a recursos de rede. No caso do ARP, um invasor pode enviar mensagens de resposta do ARP que mapeiam falsamente centenas ou mesmo milhares de endereços IP para um único endereço MAC, potencialmente sobrecarregando a máquina de destino. Esse tipo de ataque, às vezes conhecido como inundação de ARP, também pode ser usado para direcionar switches, potencialmente impactando o desempenho de toda a rede.
sequestro de sessão
os ataques de sequestro de sessão são de natureza semelhante ao Man-in-the-Middle, exceto que o invasor não encaminhará diretamente o tráfego da máquina vítima para o destino pretendido. Em vez disso, o invasor capturará um número de sequência TCP genuíno ou cookie da Web da vítima e o usará para assumir a identidade da vítima. Isso pode ser usado, por exemplo, para acessar a conta de mídia social de um usuário-alvo se ele estiver logado.
Qual é o objetivo de um ataque de envenenamento por ARP?
os Hackers têm uma grande variedade de motivos, e o envenenamento por ARP não é exceção. Um invasor pode realizar um ataque de envenenamento por ARP por várias razões, desde espionagem de alto nível até a emoção de criar caos na rede. Em um cenário potencial, um invasor usará mensagens ARP Falsificadas para assumir a função de gateway padrão para uma determinada sub-rede, direcionando efetivamente todo o tráfego para a máquina do invasor em vez do roteador local. Eles podem então espionar, modificar ou soltar o tráfego. Esses ataques são “barulhentos” no sentido de que deixam evidências para trás, mas não precisam interferir no funcionamento real da rede. Se a espionagem for o objetivo, a máquina de ataque simplesmente encaminhará o tráfego para seu destino original, não dando ao usuário final nenhuma indicação de que algo mudou.
por outro lado, o ponto de um ataque DoS pode ser criar uma interrupção altamente perceptível na operação da rede. Embora isso possa ser direcionado para privar uma empresa de sua capacidade de operar, os ataques DoS são frequentemente realizados por atacantes menos qualificados para o puro prazer de criar problemas.
ataques internos são de particular preocupação quando se pensa em envenenamento por ARP. As mensagens ARP falsificadas não ultrapassarão os limites de uma rede local, portanto, o ataque deve se originar de um dispositivo conectado localmente. Não é impossível para um estranho iniciar um ataque ARP, mas eles precisariam comprometer remotamente um sistema local por outros meios primeiro. Um insider, entretanto, só precisaria de acesso à rede e algumas ferramentas facilmente disponíveis.
ARP Spoofing vs ARP Poisoning
os Termos ARP Spoofing e ARP Poisoning são geralmente usados de forma intercambiável. Tecnicamente, spoofing refere-se a um invasor personificando o endereço MAC de outra máquina, enquanto o envenenamento denota o ato de corromper as tabelas ARP em uma ou mais máquinas vítimas. Na prática, no entanto, ambos são sub-elementos do mesmo ataque e, em linguagem geral, ambos os termos são usados para se referir ao ataque como um todo. Outros termos semelhantes podem incluir envenenamento por cache ARP ou corrupção de tabela ARP.
quais são os efeitos de um ataque de envenenamento por ARP?
o impacto mais direto de um ataque de envenenamento por ARP é que o tráfego destinado a um ou mais hosts na rede local será direcionado para um destino de escolha do invasor. Exatamente o efeito que isso terá depende das especificidades do ataque. O tráfego pode ser enviado para a máquina do invasor ou enviado para um local inexistente. Na primeira instância, pode não haver efeito observável, enquanto a segunda pode inibir o acesso à rede.
o envenenamento por cache ARP em si não terá um impacto duradouro. As entradas ARP são armazenadas em cache em qualquer lugar, desde alguns minutos em dispositivos finais até várias horas para switches. Assim que um invasor parar de envenenar ativamente as tabelas, as entradas corrompidas simplesmente envelhecerão e o fluxo adequado de tráfego será retomado em breve. O envenenamento por ARP por conta própria não deixará uma infecção permanente ou posição nas máquinas das vítimas. No entanto, os hackers geralmente acorrentam muitos tipos de ataques juntos, e o envenenamento por ARP pode ser usado em parte de uma campanha maior.
como detectar um ataque de envenenamento por cache ARP
existe uma variedade de softwares comerciais e de código aberto para detectar envenenamento por cache ARP, mas você pode verificar facilmente as tabelas ARP em seu próprio computador sem instalar nada. Na maioria dos sistemas Windows, Mac e Linux, a emissão do comando “arp-a” de um terminal ou linha de comando exibirá os mapeamentos de endereço IP para MAC atuais da máquina.
ferramentas como arpwatch e X-ARP são úteis para monitoramento contínuo da rede e podem alertar um Administrador se forem vistos sinais de um ataque de envenenamento por Cache ARP. No entanto, falsos positivos são uma preocupação e podem criar um grande número de alertas indesejados.
Como Evitar Ataques de Envenenamento de ARP
Existem várias abordagens para a prevenção de ataques de Envenenamento de ARP:
ARP Estática Tabelas
É possível mapear estaticamente todos os endereços MAC em uma rede aos seus devidos endereços IP. Isso é altamente eficaz na prevenção de ataques de envenenamento por ARP, mas adiciona um tremendo fardo administrativo. Qualquer alteração na rede exigirá atualizações manuais das tabelas ARP em todos os hosts, tornando as tabelas ARP estáticas inviáveis para a maioria das organizações maiores. Ainda assim, em situações em que a segurança é crucial, criar um segmento de rede separado onde tabelas ARP estáticas são usadas pode ajudar a proteger informações críticas.
Switch Security
a maioria dos switches Ethernet gerenciados possui recursos esportivos projetados para mitigar ataques de envenenamento por ARP. Normalmente conhecido como Dynamic Arp Inspection (DAI), esses recursos avaliam a validade de cada mensagem ARP e soltam pacotes que parecem suspeitos ou maliciosos. O DAI também pode normalmente ser configurado para limitar a taxa na qual as mensagens ARP podem passar pelo switch, evitando efetivamente os ataques DoS.
DAI e recursos semelhantes já foram exclusivos do equipamento de rede high-end, mas agora são comuns em quase todos os switches de nível empresarial, incluindo aqueles encontrados em empresas menores. Geralmente, é considerada uma prática recomendada habilitar o DAI em todas as portas, exceto aquelas conectadas a outros switches. O recurso não introduz um impacto significativo no desempenho, mas pode precisar ser ativado em conjunto com outros recursos, como o Snooping DHCP.
habilitar a segurança da porta em um switch também pode ajudar a mitigar os ataques de envenenamento do Cache ARP. A segurança da porta pode ser configurada para permitir apenas um único endereço MAC em uma porta de switch, privando um invasor da chance de assumir maliciosamente várias identidades de rede.
segurança física
controlar adequadamente o acesso físico ao seu local de negócios pode ajudar a mitigar os ataques de envenenamento por ARP. As mensagens ARP não são roteadas além dos limites da rede local, portanto, os possíveis atacantes devem estar em proximidade física com a rede da vítima ou já ter o controle de uma máquina na rede. Observe que, no caso de redes sem fio, a proximidade não significa necessariamente que o invasor precise de acesso físico direto; um sinal se estende a uma rua ou estacionamento pode ser suficiente. Seja com ou sem fio, o uso de tecnologia como 802.1x pode garantir que apenas dispositivos confiáveis e / ou gerenciados possam se conectar à rede.
isolamento de rede
conforme declarado anteriormente, as mensagens ARP não viajam além da sub-rede local. Isso significa que uma rede bem segmentada pode ser menos suscetível ao envenenamento do cache ARP em geral, pois um ataque em uma sub-rede não pode afetar dispositivos em outra. Concentrar recursos importantes em um segmento de rede dedicado onde a segurança aprimorada está presente pode diminuir muito o impacto potencial de um ataque de envenenamento por ARP.
criptografia
embora a criptografia não impeça a ocorrência de um ataque ARP, ela pode mitigar o dano potencial. Um uso popular dos ataques MiTM era capturar credenciais de login que antes eram comumente transmitidas em texto simples. Com o uso generalizado da criptografia SSL/TLS na web, esse tipo de ataque se tornou mais difícil. O ator da ameaça ainda pode interceptar o tráfego, mas não pode fazer nada com ele em sua forma criptografada.
apenas uma das muitas ameaças
embora tenha sido em torno de muito mais tempo do que as ameaças modernas como Ransomware, envenenamento ARP ainda é uma ameaça que as organizações precisam para resolver. Como todas as ameaças cibernéticas, é melhor abordada por meio de um programa abrangente de segurança da informação. Uma solução como a detecção e Resposta de ameaças Varonis pode ajudá-lo a ter uma ideia da postura geral de segurança da sua organização. Varonis Edge pode ajudar a detectar sinais de exfiltração de dados que podem ocorrer após um ataque de envenenamento por ARP ter ocorrido.