Seguridad en redes: ARP spoofing | Algo de Linux

domingo, 14 de septiembre de 2008

Seguridad en redes: ARP spoofing

ARP spoofing (tambien conocido como ARP Poisoning) es una técnica usada para atacar una red LAN que permite al atacante:
  • Obtener datos de una LAN.
  • O bloquear el tráfico de la LAN haciendo ataques de denegación de servicio.
Mediante este ataque podemos conseguir datos importantes de los usuarios conectados, como contraseñas, información que no vaya cifrada ...

El ARP spoofing aprovecha el hecho de que el protocolo ARP es un mecanismo bastante antigüo y, dado que cuando se creó no era necesario establecer mecanismos de seguridad para su uso, tiene un gran problema: la falta de autentificación.
Debido a ésto, una persona puede modificar la cache ARP de otro ordenador, sin que el otro host pueda determinar de ningún modo la autenticidad de las respuestas que recibe de sus peticiones.

Eso sí. Para efectuar este ataque tenemos que estar dentro de la red. Lo que significa estar físicamente conectado con un cable ethernet a dicha red, o, estar conectado mediante wifi, lo que significa que conocemos los datos de acceso wifi (WEP, WPA o lo que sea). Lo que no podemos hacer es hacer un ataque ARP spoofing en una red wifi a la que no estamos conectados.

Pero vamos por partes: Cuando nuestro ordenor manda información a otro equipo de una LAN, usa un mecanismo para encontrar su destinario, que es el protocolo ARP (Address Resolution Protocol) o Protocolo de Resolución de Direcciones. Este protocolo se encarga de manejar la relación entre el identificador MAC y la IP.

Un ordenador conectado a una LAN tiene siempre dos direcciones:
  • La dirección MAC.
  • Y la dirección IP.
La direccion MAC (Media Access Control) es la dirección física de la tarjeta de red. Esta dirección es "única" y se encuentra almacenada en la tarjeta. Se representa en hexadecimal y tiene la siguiente forma: XX:XX:XX:XX:XX:XX

La dirección IP es asignada a cada computador dentro de la LAN. Es única para cada máquina dentro de la LAN. Lo que quiere decir que no puede haber dos máquinas con la misma IP en la LAN.

Cada equipo guarda la correspondencia entre direcciones MAC e IP en una tabla conocida como tabla Arp.

¿Pero cómo funciona el mecanismo de resolución de direcciones?
Cuando un ordenador tiene que comunicarse con otro de su lan conoce su IP, pero necesita conocer la MAC del destinatario.
Para averiguar la MAC de una determinada dirección IP el emisor envía una petición broadcast preguntando cuál es la MAC correspondiente a esta IP (ARP who-has) .
El que tiene dicha ip contestará con una respuesta "ARP is-at", y el emisor apuntará la correspondencia MAC-IP en su tabla de ARP.

Cuando una máquina recibe una respuesta ARP, actualiza su tabla ARP con la nueva IP/MAC.

El ataque ARP spoofing se basa en mandar paquetes ARP falsos con el fin de modificar la tabla de ARP del equipo objetivo.

Ya veremos algún ejemplo de ARP spoofing en otro post.

1 comentario:

emiliano dijo...

tengo linksys wrt54g el arpspoff funciona si la makina del atacante y la makina de la voictima están en la lan cableada, tambien funciona si la makina del atacante esta en la lan cableada y la makina d la victima está en el wifi. pero no funciona si la makina del atacante está en wl wifi y la makina victima en la lan cableada. Si envío paquetes arprequest con una direccion falsa desde una makina conectada con wifi, estos paquetes nunca llegan a la red cableada. es com si el AP se da cuenta que la mac asociaada del cliente wifi no corresponde con la mac spoffeada y no deja pasar el paquete. esto es así?