Protocolo de Resolucin de Direcciones ARP Por qu? La MAC es una direccin de la capa de enlace de datos que depende del hardware que se utilice. Tambin se conoce como direccin Ethernet o direccin de control de acceso al medio (MAC). La direccin IP trabaja en la capa de red y no entiende nada acerca de MACs que manejan nodos induviduales dentro de la red. Se necesita un protocolo estndar que los relacione para que un datagrama pueda llegar a su destino. El protocolo ARP recogido en la RFC826. ARP El mensaje Tipo de HW: Identifica el tipo de hardware que se utiliza: Ethernet, ATM, HDLC, ... Tipo de Protocolo: IPv4 Tamao de direccin HW: para Ethernet (MAC) son 6 bytes. Tamao de direccin de protocolo: Para la IPv4 son 4 bytes. Operacin ARP: Peticin o respuesta. Tipo de HW Tipo de Protocolo Tamao de direccin HW Operacin ARP Tamao de direccin protocolo Direccin HW origen Direccin protocolo origen Direccin HW destino Direccin protocolo destino ARP El mensaje Utilizando Wireshark ARP Cmo funciona? Tenemos un host A que quiere mandar un datagrama a la direccin IP pero si no conoce la direccin Ethernet que tiene, por lo que mandar una peticin ARP en difusin y el que tiene la IP de peticin proceder a almacenar el par de direcciones del solicitante y despus contestar. Al llegar al origen el par que se solicitaba se almacenar. El almacenamiento de los pares de direcciones se realizan en una tabla local que cada host tiene que se llama cach ARP. Cach ARP Debido a que la red debe de estar continuamente comunicandose para la resolucin de direcciones sta puede convertirse en un problema debido al consumo de recursos en la red. Debido a que la peticin es en difusin todos los host deben de gastar un tiempo de CPU preciado para examinar el paquete de peticin. Se solucion con una tabla local en la que guardar los pares de direcciones. Existen dos formas de almacenamiento en la cache: Esttico Dinmico Puede ser vulnerable a un ataque de falsificacin de paquetes ARP: ARP Spoofing. Envenenamiento ARP Este tipo de vulnerabilidad consiste en el envenenamiento de las tablas ARP de los host implicados. Tambin conocido como ARP Spoofing, Falsificacin ARP... Se aprovecha de que las tablas son dinmicas y cambian conforme le llegan respuestas ARP, aunque no hayan pedido peticin ninguna. Envenenamiento ARP: Escenario Tenemos un router, y dos host una la vctima y otra el atacante. El objetivo es envenenar la tabla ARP para poder llegar a situarse en medio de la comunicacin entre el router y el host de la vctima. Este mtodo se conoce como MITM (Man in the Middle). Utilizar un cliente de mensajera para comprobar la vulnerabilidad a la hora de mandar mensajes. Envenenamiento ARP: Herramientas Distribucin linux preferida. Ubuntu Jaunty Jackalope. dnsspoof wireshark
Envenenamiento ARP Manos a la obra Despus de instalar todas las herramientas necesarias necesitamos poner el ip_forward a 1 para habilitar el reenvio de paquetes desde nuestro equipo atacante.
Ahora utilizando una herramienta que es parte de DnsSpoof invocamos los procesos para envenenar las cach ARP
Envenenamiento ARP La obra continua Si en el host de la vctima visualizamos su cache ARP podemos encontrarnos con lo siguiente:
Donde antes tenamos
Imaginemos que utilizamos un cliente de mensajera, el MSN y escribimos algunos mensajes a algn contacto:
Envenenamiento ARP El destape Ahora utilizando el programa Wireshark y utilizando como filtro msnms Envenenamiento ARP Para curiosos A este mtodo se le puede aadir la falsificacin de DNS con dnsspoof por ejemplo de Gmail para que pase toda la informacin a nuestro host atacante y despues utilizar ssldump para poder desencriptar el contenido seguro. Posibles soluciones Una posible solucin pasa por insertar de manera esttica la cach ARP esto puede ser demasiado costoso cuando hablamos de muchos host en la red. Otra solucin viene implementada en algunos dispositivos en los que se evita este tipo de ataque y se conoce como DHCP Snooping Para detectarlo puede hacerse uso del protocolo RARP que es el ARP inverso en el que se pregunta por una direccin Ethernet y devuelve una IP. Conclusin Como hemos visto en el mundo de las redes de la informacin no siempre todo es seguro. Hemos visto que el ataque es en una LAN, pero conocemos muy bien las vulnerabilidades existentes hoy en da en las redes inalmbricas, por lo que podran acceder a la red local sin ningn problema. Tienen que tomarse medidas preventivas y curativas para evitar que la seguridad de la informacin quede vulnerada. Bibliografa y direcciones de inters http://www.ietf.org/rfc/rfc826.txt http://www.tcpipguide.com/free/t_AddressResolutionandtheTCPI PAddressResolutionProto.htm http://es.wikipedia.org/wiki/ARP_Spoofing http://www.oxid.it/downloads/apr-intro.swf http://technet.microsoft.com/es-es/library/cc758357(WS.10).aspx http://technet.microsoft.com/es-es/library/cc755489(WS.10).aspx http://foro.elhacker.net/hacking_avanzado/esnifando_redes_con mutadasarp_spoof_mitm_sniffer_sobre_ssl- t223015.0.html;msg1058386 http://www.erg.abdn.ac.uk/users/gorry/course/inet- pages/arp.html