ARP (protocolo de resolucion de DIRECCION) La suplantación de identidad es un tipo de ciberataque que se basa en el envío de paquetes ARP maliciosos por parte de atacantes a la puerta de enlace predeterminada a través de la red local. (LAN), usarlo de tal manera que asocie su propia dirección MAC con la dirección IP del dispositivo de puerta de enlace.
Típicamente, El objetivo de asociar la dirección MAC de un atacante con la dirección IP de otro host., como la puerta de enlace predeterminada, es llamar a cualquier tráfico diseñado para enviar esa dirección IP a través de un atacante. ARP La suplantación de identidad permite a un agresor capturar tramas de datos en la red y modificar o detener todo el tráfico.. Generalmente, Se utiliza para abrir otros ataques basados en la red., como ataques de secuestro de sesión, Ataques MITM, o denegación de servicio.
Es importante tener en cuenta que sólo las redes que utilizan ARP puede usar este ataque. Como resultado, el atacante tendrá acceso directo al segmento de red. Además, ARP De hecho, es un protocolo de uso común cuyos algoritmos convierten las direcciones de la capa de Internet en la capa de enlace..
No importa si lo solicita el host de la red o no, cualquier ARP las respuestas recibidas se almacenarán automáticamente en caché. Cuando recibe una nueva respuesta ARP, todos los registros, incluidos aquellos que no han caducado, será sobrescrito. protocolo ARP no se puede autenticar el par desde el cual se envió el paquete porque no tiene ningún método. Esta es la vulnerabilidad que es posible Suplantación de ARP.
Ataque de suplantación de identidad ARP
Porque el protocolo ARP no tiene autenticacion, esto permite falsificar ARP enviando mensajes ARP falsificados dentro de la red local. Dichos ataques se ejecutarán desde un host infectado en la red local o desde el dispositivo del atacante., que debe estar conectado a la misma red que el objetivo.
La tarea de tal ataque es asociar la dirección MAC del atacante con la dirección IP del host objetivo para que todo el tráfico que se dirige al host objetivo pase a través del host del atacante..
Un atacante puede inspeccionar el tráfico (espionaje) y continuar enviando al host objetivo sin revelarse, modificar el contenido antes de reenviar (ataque de hombre en el medio), o lanzar un ataque que interrumpa parcial o totalmente la transferencia de paquetes en la red.
Detectar y prevenir la suplantación de ARP
Software especializado en detectando suplantación de ARP Normalmente utiliza una forma específica de certificación o verificación cruzada de las respuestas ARP.. Así no certificado ARP las respuestas están bloqueadas. Típicamente, Estos métodos están integrados con un servidor DHCP para certificar direcciones IP dinámicas y estáticas..
Un ARP El indicador de ataque falso puede ser la presencia de múltiples direcciones IP vinculadas a la misma dirección MAC., aunque a veces el uso de dicho esquema es legítimo. El dispositivo analiza las respuestas ARP y envía una notificación por correo electrónico si el ARP El registro se cambia de forma más pasiva..
¿Cómo me protejo de un ataque de suplantación de identidad ARP??
👉 No utilice la relación de confianza
La relación de confianza utiliza direcciones IP para la autenticación, no uses este método. En cambio, necesita crear un nombre de usuario y una contraseña personales para identificar a los usuarios a través de políticas de seguridad.
👉 Utilice filtrado de paquetes
El filtrado de paquetes es la forma en que un firewall monitorea los paquetes entrantes y salientes.. Se logra separando las redes internas confiables de las redes públicas inseguras.. También, un firewall puede filtrar paquetes por protocolo, fuente, y números de puerto de destino, o direcciones de red de origen y destino.
👉 Utilice ARP estático
Si tienes dos anfitriones, usar estática ARP para agregar un registro permanente en el caché. Esto le dará un nivel adicional de spoofing protection.
