enero 23, 2022

¿Qué es la suplantación de ARP y Cómo prevenirla?

El spoofing ARP es un tipo de ciberataque en el que el hacker envía un mensaje de Protocolo de Resolución de Direcciones (ARP) falso a través de una Red de Área Local (LAN).

En este artículo, echaremos un vistazo a la suplantación ARP, o envenenamiento ARP, qué es, cómo funciona, cómo puede detectar ataques de suplantación ARP y, finalmente, cómo evitar un ataque al protocolo ARP.

Así que empecemos.

¿Qué es ARP (Protocolo de Resolución de direcciones)?

Antes de que podamos entender completamente la suplantación de ARP, primero necesitamos entender el protocolo ARP.

El Protocolo APR es responsable de traducir una dirección MAC a una dirección de Protocolo de Internet y viceversa.

En otras palabras, el Protocolo de Resolución de direcciones permite a su computadora u otro dispositivo ponerse en contacto con el enrutador y conectarse a la red (Internet). Aquí, un host mantiene una caché ARP o una tabla de asignación. Esta tabla ARP se activa cada vez que se envían paquetes de datos IP entre hosts en una LAN, lo que permite mejores conexiones entre destinos de red.

¿Qué sucede si el host no conoce una dirección IP?

En este caso, se envía una solicitud ARP, es decir, un paquete de difusión. Si existe un equipo con esa dirección IP (y está conectado a la red), responde con su dirección de Control de Acceso a Medios (MAC) antes de que se agregue a la caché.

¿Qué son los ataques de Suplantación de ARP?

Varios problemas hacen que ARP sea menos seguro.

  • El protocolo ARP carece de cualquier tipo de verificación para confirmar que la solicitud se origina de un usuario autorizado. Esto es lo que permite principalmente ataques de suplantación de ARP.
  • Cuando se recibe una nueva respuesta ARP, las entradas ARP antiguas que no han expirado se sobrescriben.
  • Incluso si no se envía ninguna solicitud ARP, los hosts almacenarán en caché las respuestas ya que ARP es un protocolo sin estado.
  • ARP solo funciona con IPv4 y en direcciones IP de 32 bits.

Bien, entonces, ¿qué es la suplantación de ARP o el envenenamiento por ARP?

Es un tipo de ataque malicioso en el que el ciberatacante engaña a la puerta de enlace predeterminada para relacionar su dirección MAC con la dirección IP de la víctima enviando paquetes ARP a la puerta de enlace en la red de área local (LAN).

¿Para Qué se Usa Generalmente la Suplantación de ARP?

Por sí solo, la suplantación de ARP podría no ser tan importante. En su lugar, por lo general sirve como vanguardia para tipos de ataques más sofisticados, como:

  • Ataques de intermediario: el atacante intercepta y modifica el tráfico entre el remitente y el destinatario. Leer más sobre ataques MITM.
  • Ataques DDoS: la suplantación ARP permite al ciberdelincuente usar la dirección MAC del servidor al que desea atacar y no la suya, y lanzar un ataque DDoS. Luego puede repetir eso para tantas direcciones IP como necesite para inundar el tráfico.
  • Secuestro de sesión: la suplantación de ARP también permite al hacker obtener el ID de sesión de la víctima y acceder a las cuentas en las que el objetivo ya ha iniciado sesión.
  • Robo continuo de paquetes: Finalmente, el atacante puede simplemente seguir robando sus datos olfateando sus paquetes de datos.

¿Cómo Funcionan los Ataques de Suplantación de ARP?

Ahora echemos un vistazo a cómo funcionan estos ataques paso a paso.

  1. En primer lugar, el hacker obtiene acceso a la red LAN y la escanea en busca de direcciones IP.
  2. A continuación, con una herramienta de suplantación de ARP, como Arpspoof, el atacante crea respuestas ARP.
  3. Luego, se envía el paquete ARP con la dirección MAC del hacker y se empareja con la dirección IP del objetivo. Esto engaña al enrutador y a la computadora para que se conecten al hacker en lugar de uno al otro.
  4. Ahora la caché ARP se actualiza, lo que significa que el enrutador y la computadora se comunicarán con el ciberdelincuente.
  5. Otros hosts de la red transmitirán los datos al atacante que vea la caché ARP falsificada.

¿Puede Detectar la Suplantación de ARP?

La buena noticia es que sí, puede detectar un ataque de suplantación de ARP.

Hay varias maneras de hacer esto.

  • Usando el símbolo del sistema de Windows

Si está en el sistema operativo Windows, puede averiguar si su computadora fue atacada por la suplantación de ARP escribiendo

arp -1

En la línea de comandos.

Lo que hará esto es mostrar una tabla ARP con las direcciones IP en el lado izquierdo y las direcciones MAC en el medio. Si dos direcciones IP comparten la misma dirección MAC, esto es un signo de un ataque ARP.

Además, tenga en cuenta que el mismo comando para detectar la suplantación de ARP también funciona con Linux.

  • Utilizando un software de terceros

Si está utilizando software de terceros, hay dos opciones disponibles.

Una es usar un programa de detección de suplantación de ARP dedicado, como XArp, para monitorear la red en busca de ataques de suplantación de ARP.

El otro es usar un analizador de protocolo de red como Wireshark.

¿Cómo Evitar la Suplantación de ARP (Y Proteger Su Dirección IP y Dirección MAC)?

Además de usar un software (o comando) de detección de suplantación de identidad ARP, ¿qué más puede hacer para evitar tales ataques?

Hay varias cosas que puedes hacer, como::

  1. Utilice filtros de paquetes para detectar paquetes de datos maliciosos y bloquearlos.
  2. Cifre los datos entre usted y la salida con una VPN (Red Privada Virtual).
  3. Use TLS (Seguridad de la capa de transporte), Shell seguro SSH) y HTTPS para cifrar sus datos en tránsito y minimizar la probabilidad de ataques de suplantación de ARP.
  4. Use ARP estático para permitir entradas estáticas para cada dirección IP y evitar que los hackers escuchen las respuestas ARP para esa dirección IP.
  5. Monitoree la resolución de direcciones utilizando software de detección de intrusos como Suricata.
  6. Manténgase alejado de las relaciones de confianza que dependen de las direcciones IP para la autenticación, ya que facilitan la realización de ataques de suplantación de ARP.

Conclusión

Como puedes ver, la suplantación de ARP es definitivamente algo de lo que debes tener cuidado.

Con suerte, gracias a este artículo, ahora tendrá una mejor comprensión de los ataques de suplantación de ARP, cómo funcionan y cómo detectarlos y prevenirlos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.