El protocolo ARP mapea direcciones IP a direcciones MAC para permitir que los paquetes lleguen a su destino en una red. Cada host almacena parejas de direcciones IP-MAC recibidas en una caché ARP para evitar tener que realizar una petición ARP cada vez. Esto puede usarse para envenenar las cachés ARP de otras máquinas y situarse entre ellas, permitiendo interceptar su tráfico de red.

1. Protocolo ARP Address Resolution Protocol Protocolo de Resolución de Direcciones

2. ARP ¿Por qué? La MAC es una dirección de la capa de enlace de datos que depende del hardware que se utilice. También se conoce como dirección Ethernet o dirección de control de acceso al medio (MAC). La dirección IP trabaja en la capa de red y no entiende nada acerca de MACs que manejan nodos induviduales dentro de la red. Se necesita un protocolo estándar que los relacione para que un datagrama pueda llegar a su destino. El protocolo ARP recogido en la RFC826.

3. ARP El mensaje Tipo de HW: Identifica el tipo de hardware que se utiliza: Ethernet, ATM, HDLC, ... Tipo de Protocolo: IPv4 Tamaño de dirección HW: para Ethernet (MAC) son 6 bytes. Tamaño de dirección de protocolo: Para la IPv4 son 4 bytes. Operación ARP: Petición o respuesta. Tipo de HW Tipo de Protocolo Tamaño de dirección HW Operación ARP Tamaño de dirección protocolo Dirección HW origen Dirección protocolo origen Dirección HW destino Dirección protocolo destino

4. ARP El mensaje Utilizando Wireshark

5. ARP ¿Cómo funciona? Tenemos un host A que quiere mandar un datagrama a la dirección IP pero si no conoce la dirección Ethernet que tiene, por lo que mandará una petición ARP en difusión y el que tiene la IP de petición procederá a almacenar el par de direcciones del solicitante y después contestará. Al llegar al origen el par que se solicitaba se almacenará. El almacenamiento de los pares de direcciones se realizan en una tabla local que cada host tiene que se llama caché ARP.

6. Caché ARP Debido a que la red debe de estar continuamente comunicandose para la resolución de direcciones ésta puede convertirse en un problema debido al consumo de recursos en la red. Debido a que la petición es en difusión todos los host deben de gastar un tiempo de CPU preciado para examinar el paquete de petición. Se solucionó con una tabla local en la que guardar los pares de direcciones. Existen dos formas de almacenamiento en la cache: Estático Dinámico Puede ser vulnerable a un ataque de falsificación de paquetes ARP: ARP Spoofing.

7. Envenenamiento ARP Este tipo de vulnerabilidad consiste en el envenenamiento de las tablas ARP de los host implicados. También conocido como ARP Spoofing, Falsificación ARP... Se aprovecha de que las tablas son dinámicas y cambian conforme le llegan respuestas ARP, aunque no hayan pedido petición ninguna.

8. Envenenamiento ARP: Escenario Tenemos un router, y dos host una la víctima y otra el atacante. El objetivo es envenenar la tabla ARP para poder llegar a situarse en medio de la comunicación entre el router y el host de la víctima. Este método se conoce como MITM (Man in the Middle). Utilizar un cliente de mensajería para comprobar la vulnerabilidad a la hora de mandar mensajes.

9. Envenenamiento ARP: Herramientas Distribución linux preferida. Ubuntu Jaunty Jackalope. dnsspoof wireshark

10. Envenenamiento ARP Manos a la obra Después de instalar todas las herramientas necesarias necesitamos poner el ip_forward a 1 para habilitar el reenvio de paquetes desde nuestro equipo atacante. Ahora utilizando una herramienta que es parte de DnsSpoof invocamos los procesos para envenenar las caché ARP

11. Envenenamiento ARP La obra continua Si en el host de la víctima visualizamos su cache ARP podemos encontrarnos con lo siguiente: Donde antes teníamos Imaginemos que utilizamos un cliente de mensajería, el MSN y escribimos algunos mensajes a algún contacto:

12. Envenenamiento ARP El destape Ahora utilizando el programa Wireshark y utilizando como filtro msnms

13. Envenenamiento ARP Para curiosos A este método se le puede añadir la falsificación de DNS con dnsspoof por ejemplo de Gmail para que pase toda la información a nuestro host atacante y despues utilizar ssldump para poder desencriptar el contenido seguro.

14. Posibles soluciones Una posible solución pasa por insertar de manera estática la caché ARP esto puede ser demasiado costoso cuando hablamos de muchos host en la red. Otra solución viene implementada en algunos dispositivos en los que se evita este tipo de ataque y se conoce como DHCP Snooping Para detectarlo puede hacerse uso del protocolo RARP que es el ARP inverso en el que se pregunta por una dirección Ethernet y devuelve una IP.

15. Conclusión Como hemos visto en el mundo de las redes de la información no siempre todo es seguro. Hemos visto que el ataque es en una LAN, pero conocemos muy bien las vulnerabilidades existentes hoy en día en las redes inalámbricas, por lo que podrían acceder a la red local sin ningún problema. Tienen que tomarse medidas preventivas y curativas para evitar que la seguridad de la información quede vulnerada.

16. Bibliografía y direcciones de interés http://www.ietf.org/rfc/rfc826.txt http://www.tcpipguide.com/free/t_AddressResolutionandtheTCPIPAddressResolutionProto.htm http://es.wikipedia.org/wiki/ARP_Spoofing http://www.oxid.it/downloads/apr-intro.swf http://technet.microsoft.com/es-es/library/cc758357(WS.10).aspx http://technet.microsoft.com/es-es/library/cc755489(WS.10).aspx http://foro.elhacker.net/hacking_avanzado/esnifando_redes_conmutadasarp_spoof_mitm_sniffer_sobre_ssl-t223015.0.html;msg1058386 http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html