Download - Redes: Protocolo Arp

Transcript
Page 1: Redes: Protocolo Arp

Protocolo ARPAddress Resolution ProtocolProtocolo de Resolución de Direcciones

Page 2: Redes: Protocolo Arp

ARP ¿Por qué?• La MAC es una dirección de la capa de enlace de

datos que depende del hardware que se utilice. También se conoce como dirección Ethernet o dirección de control de acceso al medio (MAC).

• La dirección IP trabaja en la capa de red y no entiende nada acerca de MACs que manejan nodos induviduales dentro de la red.

• Se necesita un protocolo estándar que los relacione para que un datagrama pueda llegar a su destino. El protocolo ARP recogido en la RFC826.

Page 3: Redes: Protocolo Arp

ARP El mensaje• Tipo de HW: Identifica el

tipo de hardware que se utiliza: Ethernet, ATM, HDLC, ...

• Tipo de Protocolo: IPv4• Tamaño de dirección HW:

para Ethernet (MAC) son 6 bytes.

• Tamaño de dirección de protocolo: Para la IPv4 son 4 bytes.

• Operación ARP: Petición o respuesta.

Tipo de HW

Tipo de Protocolo

Tamaño de dirección HW

Operación ARP

Tamaño de dirección protocolo

Dirección HW origen

Dirección protocolo origen

Dirección HW destino

Dirección protocolo destino

Page 4: Redes: Protocolo Arp

ARP El mensaje• Utilizando Wireshark

Page 5: Redes: Protocolo Arp

ARP ¿Cómo funciona?• Tenemos un host A que quiere mandar un

datagrama a la dirección IP pero si no conoce la dirección Ethernet que tiene, por lo que mandará una petición ARP en difusión y el que tiene la IP de petición procederá a almacenar el par de direcciones del solicitante y después contestará.

• Al llegar al origen el par que se solicitaba se almacenará.

• El almacenamiento de los pares de direcciones se realizan en una tabla local que cada host tiene que se llama caché ARP.

Page 6: Redes: Protocolo Arp

Caché ARP• Debido a que la red debe de estar continuamente

comunicandose para la resolución de direcciones ésta puede convertirse en un problema debido al consumo de recursos en la red.

• Debido a que la petición es en difusión todos los host deben de gastar un tiempo de CPU preciado para examinar el paquete de petición.

• Se solucionó con una tabla local en la que guardar los pares de direcciones.

• Existen dos formas de almacenamiento en la cache:▫ Estático▫ Dinámico

• Puede ser vulnerable a un ataque de falsificación de paquetes ARP: ARP Spoofing.

Page 7: Redes: Protocolo Arp

Envenenamiento ARP

•Este tipo de vulnerabilidad consiste en el envenenamiento de las tablas ARP de los host implicados.

•También conocido como ARP Spoofing, Falsificación ARP...

•Se aprovecha de que las tablas son dinámicas y cambian conforme le llegan respuestas ARP, aunque no hayan pedido petición ninguna.

Page 8: Redes: Protocolo Arp

Envenenamiento ARP: Escenario•Tenemos un router, y dos host una la

víctima y otra el atacante.•El objetivo es envenenar la tabla ARP

para poder llegar a situarse en medio de la comunicación entre el router y el host de la víctima. Este método se conoce como MITM (Man in the Middle).

•Utilizar un cliente de mensajería para comprobar la vulnerabilidad a la hora de mandar mensajes.

Page 9: Redes: Protocolo Arp

Envenenamiento ARP: Herramientas• Distribución linux preferida. Ubuntu Jaunty

Jackalope.• dnsspoof• wireshark

Page 10: Redes: Protocolo Arp

Envenenamiento ARPManos a la obra• Después de instalar todas las herramientas necesarias necesitamos poner

el ip_forward a 1 para habilitar el reenvio de paquetes desde nuestro equipo atacante.

• Ahora utilizando una herramienta que es parte de DnsSpoof invocamos los procesos para envenenar las caché ARP

Page 11: Redes: Protocolo Arp

Envenenamiento ARPLa obra continua• Si en el host de la víctima visualizamos su cache ARP

podemos encontrarnos con lo siguiente:

• Donde antes teníamos

• Imaginemos que utilizamos un cliente de mensajería, el MSN y escribimos algunos mensajes a algún contacto:

Page 12: Redes: Protocolo Arp

Envenenamiento ARPEl destape•Ahora utilizando el programa Wireshark y

utilizando como filtro msnms

Page 13: Redes: Protocolo Arp

Envenenamiento ARPPara curiosos•A este método se le puede añadir la

falsificación de DNS con dnsspoof por ejemplo de Gmail para que pase toda la información a nuestro host atacante y despues utilizar ssldump para poder desencriptar el contenido seguro.

Page 14: Redes: Protocolo Arp

Posibles soluciones• Una posible solución pasa por insertar de

manera estática la caché ARP esto puede ser demasiado costoso cuando hablamos de muchos host en la red.

• Otra solución viene implementada en algunos dispositivos en los que se evita este tipo de ataque y se conoce como DHCP Snooping

• Para detectarlo puede hacerse uso del protocolo RARP que es el ARP inverso en el que se pregunta por una dirección Ethernet y devuelve una IP.

Page 15: Redes: Protocolo Arp

Conclusión•Como hemos visto en el mundo de las

redes de la información no siempre todo es seguro.

•Hemos visto que el ataque es en una LAN, pero conocemos muy bien las vulnerabilidades existentes hoy en día en las redes inalámbricas, por lo que podrían acceder a la red local sin ningún problema.

•Tienen que tomarse medidas preventivas y curativas para evitar que la seguridad de la información quede vulnerada.

Page 16: Redes: Protocolo Arp

Bibliografía y direcciones de interés• http://www.ietf.org/rfc/rfc826.txt• http://www.tcpipguide.com/free/

t_AddressResolutionandtheTCPIPAddressResolutionProto.htm• http://es.wikipedia.org/wiki/ARP_Spoofing• http://www.oxid.it/downloads/apr-intro.swf• http://technet.microsoft.com/es-es/library/

cc758357(WS.10).aspx• http://technet.microsoft.com/es-es/library/

cc755489(WS.10).aspx• http://foro.elhacker.net/hacking_avanzado/

esnifando_redes_conmutadasarp_spoof_mitm_sniffer_sobre_ssl-t223015.0.html;msg1058386

• http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html