Hola a todos!
Introduccion
ARP Spoofing también conocido como ARP Poison Routing, en una técnica utilizada para capturar paquetes de los hosts en una red ethernet conmutada, es decir, basada en switchs y no en hubs.Medíante este procedimiento, el atacante es capaz de leer los paquetes en la LAN, Modificar el tráfico e incluso detenerlo (DoS).
ARP es un protocolo de capa 2 (Enlace), los paquetes “ARP request” como los “ARP reply”, pueden ser tráfico de difusión broad cast, por lo cual no están diseñados para proporcionar ninguna validación en la transacción. Cuando los clientes almacenan una distribución de ARP Reply no solicitadas en sus caches ARP, se genera el escenario “ARP Cache Poison”.
¿En qué consiste?
Es una técnica MITM “Man In The Middle”, que consiste en emitir falsos mensajes ARP en la LAN. De esta forma se asocia la dirección MAC (del atacante), con el Gateway, confundiendo a los host seleccionados que estan conectados en ese rango/segmento de la red, logrando que éste envíe peticiones de conexión al atacante.
El atacante puede entonces elegir entre reenviar el tráfico al Gateway real (ataque pasivo o escucha), modificar los datos antes de reenviarlos (ataque activo) o puede lanzar un ataque de tipo DoS (Denial of Service) contra la víctima.
En el siguiente video veremos como realizar un ARP spoofing con Back Track 5 R3. El laboratorio esta montado sobre una topología etheret conmutada .
Existen 2 manera de evitar un ataque ARP spoofing:
1)Tablas ARP estáticas
En redes pequeñas se pueden utilizar tablas ARP estáticas, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP. La desventaja es que el administrador, debe mantener las tablas ARP actualizadas (cada vez que se cambie la dirección IP de un equipo, es necesario actualizar todas las tablas de todos los equipos de la red).
2)DHCP snooping
Es una solución que ofrecen los switchs de CISCO, con la cual podemos repeler este tipo de ataques, además su implementación es sensilla. Veamos:
a.-Primero se activa Snooping en el Switch:
Switch(config)#ip dhcp snooping
b.-Luego ingresamos a la interfaz en la cual esta conectada el servidor DHCP y declaramos el puerto como “trust”. Por defecto cuando se activa snooping todos los puertos pasan a ser puertos untrust:
Switch(config)#int f0/1
Switch(config-if)#ip dhcp snooping trust
También hay que considerar si nuestro switch tiene VLANS asociadas a estos puertos, en ese caso se aplica:
Switch(config)#ip dhcp snooping vlan 10,20 ….etc.
Listo!
Con esto, nuestro Switch nos ayudará a contener el ataque.
Espero que les sirva, y ante cualquier duda/consulta me avisan.
Sldos!
Commentaires