A-Tipos de ataque ARP - Apuntes ARP protocolo PDF

Preview

Summary

Protocolos de comunicación ARP...

Description

Tipos de Ataques ARP MAC Flooding: El ataque de MAC Flooding, intenta explotar las limitaciones de recursos que los switches de diferentes vendedores poseen, en referencia a la cantidad de memoria asignada para la MAC Address Table, es decir, el lugar donde se almacenan las direcciones físicas aprendidas por el dispositivo y el identificador de puerto físico correspondiente. Cuando un switch inicia su funcionamiento, no conoce qué dispositivos se encuentran conectados al mismo, reenviando las tramas recibidas por todos sus puertos, a excepción de aquel por donde dicha trama arribó. A medida que se va generando tráfico, el switch aprende las direcciones MAC de los distintos host conectados, registrando esta dirección junto al puerto de conexión en un área de memoria, conocida como MAC Address Table. A partir de aquí, cuando la dirección MAC de destino de una trama se encuentra en la mencionada tabla, el switch reenviará la misma al puerto correspondiente y ya no por todos sus puertos, aumentando significativamente el rendimiento de la red. La MAC Address Table es limitada en tamaño, si una cantidad excesiva de entradas se registran y su tamaño está al límite, las entradas más antiguas se eliminan, liberando espacio para las más nuevas. Típicamente un intruso tratará de inundar el switch con un gran número de tramas con direcciones MAC falsas, hasta agotar la MAC Address Table, por ejemplo utilizando la herramienta macof, creada en 1999 e incorporada en dsniff. Cuando esto ocurre dicha tabla estará completa de direcciones erróneas, cualquier nueva trama que reciba, aunque sea real, no encontrará el puerto asociado a la dirección en dicha tabla, motivo por el cual seguirá su procedimiento lógico, es decir, reenviará dicha trama por todos los otros puertos, convirtiéndose en un hub. Si el atacante no mantiene la inundación de direcciones falsas, el switch puede eventualmente eliminar las entradas erróneas por exceso de tiempo de vida y aprender nuevamente las direcciones reales de la red, normalizando su funcionamiento. Este tipo de ataque puede ser mitigado, activando la configuración de seguridad que caracteriza a la mayoría de los switches administrables. Por ejemplo se puede configurar la dirección MAC que estará conectada a cada puerto del switch, o bien, se puede especificar hasta cuántas direcciones MAC podrán aprender los puertos del dispositivo y hasta también la acción a ejecutar ante una violación de seguridad, como bloquear la dirección MAC errónea o bloquear el propio puerto. En un Cisco Catalyst estas funciones de seguridad se denominan Port Security.

MAC Spoofing: Este tipo de ataque involucra el uso de direcciones MAC reales, pertenecientes a otros hosts de la red, a fin de que el switch registre esta MAC en el puerto donde realmente se encuentra el atacante, para de esta manera transformarse en el destinatario de las tramas dirigidas al verdadero host. Enviando una simple trama con la dirección MAC origen del host víctima, el atacante logra que el switch sobrescriba la MAC Address Table, de manera tal que a partir de ese momento, se reenvían al puerto del atacante las tramas originalmente dirigidas al host víctima. La víctima no recibirá tráfico hasta que envíe una trama, cuando esto sucede el switch modificará nuevamente su tabla, asociando la dirección MAC al puerto correcto. Como el caso anterior, la forma de mitigar este ataque es configurando la dirección MAC que cada puerto tendrá conectada, a fin de evitar asociar una determinada dirección a un puerto incorrecto.

Mitigación de ataques ARP Address Resolution Protocol (ARP), es utilizado para obtener una dirección MAC desconocida a partir de una dirección IP conocida dentro de una LAN, donde los hosts de la misma subred residen. Normalmente una estación enviará para esto una solicitud ARP, mediante una trama broadcast a todas las demás estaciones y recibirá una respuesta ARP conteniendo la dirección MAC buscada, por parte de la estación que tiene la dirección IP conocida. Dentro de este esquema, existen respuestas ARP no solicitadas llamadas ARP gratuitos, que pueden ser explotados maliciosamente por un atacante para enmascarar una dirección IP sobre un segmento. Típicamente, esta acción es ejecutada para posibilitar un ataque denominado Man in the Middle (MITM), en el cual el atacante engaña a los dispositivos que entablarán una comunicación a través de la red, enviando su propia dirección MAC mediante ARP gratuitos. Cada estación involucrada (un cliente y un servidor o una estación con su default gateway) almacena en su ARP caché la dirección IP del otro host, pero asociada a la dirección MAC del atacante, con lo cual el tráfico pasa por éste antes de dirigirse a su destino, posibilitando la captura de datos. Una solución que puede ser usada para mitigar este tipo de ataque, es el uso de la técnica conocida como Dynamic ARP Inspection (DAI), quien determina la validez de un paquete ARP basado en la relación existente entre una dirección MAC con una dirección IP, almacenada previamente en una base de datos por acción de otra técnica de seguridad conocida como DHCP snooping (Se explicará más adelante). DAI puede también validar tráfico ARP a través de Listas de Control de Acceso (ACL), especialmente para estaciones que tengan direccionamiento IP estático....