Seguridad en Redes: Capa Seguridad en Redes: Capa de Redde Red

ARP SpoofingARP Spoofing

Oscar Eduardo Sánchez GarcíaOscar Eduardo Sánchez GarcíaCorporación Universitaria AmericanaCorporación Universitaria Americana

Medellin, ColombiaMedellin, Colombia

Introducción• Una computadora conectada a una red Ethernet

tiene dos direcciones– Dirección de MAC

• Globalmente única y no modificable que se almacena en la NIC.

• Un encabezado Ethernet contiene la dirección MAC de las máquinas fuente y destino.

– Dirección IP

• Cada computadora en una red debe tener una dirección IP única.

• Virtual y asignada por software.

2

• Packet: Unidades de transmisión (capa de red)

• Los paquetes se fraccionan en frames (capa enlace)

• Se envían por el cable hacia otro dispositivo (capa fisica)

• Segmentación: Decide cuál puerto debe mandar el frame. Para ello busca la dirección física destino del frame en una tabla interna (CAM table) que mapea número de puertos y direcciones MAC.

3

Introducción

• En el momento en que el frame Ethernet es construido a partir de un paquete IP no se tiene idea de la MAC de la máquina destino.

• La única información disponible es la dirección IP destino.

• Debe existir una forma para que el protocolo Ethernet obtenga la MAC de la máquina destino dado la IP destino.

• Aquí es donde el protocolo ARP (Address Resolution Protocol) aparece en escena. 4

Introducción

5

Address Resolution & Reverse Address Resolution

6

Address Resolution & Reverse Address Resolution

7

8

Encapsulamiento de ARP

Funcionamiento del ARP– Obtener la dirección IP del destino.– Crear un mensaje ARP de solicitud (request).

– Inserta la dirección física del emisor.– Inserta la dirección IP del emisor.

– Inserta la dirección IP del destino.– La dirección física del destino se llena con 0.

– El mensaje se pasa a la capa de enlace donde es encapsulado en un frame.– Dirección fuente: dirección física del emisor.– Dirección destino: dirección broadcast.

9

Funcionamiento del ARP– Cada host o router en la red recibe el frame.

– Todos los equipos lo pasan al ARP.– Todas las máquinas, excepto la destino,

descartan el paquete.– La máquina destino responde con un mensaje

ARP que contiene su dirección física.

– Mensaje unicast.– El emisor recibe el mensaje de respuesta y

obtiene la dirección física de la máquina destino.

10

11

12

Encapsulamiento RARP

– Para evitar el envío de un paquete ARP request cada vez que se necesite un host puede mantener una cache con la dirección IP y su correspondiente dirección física en su tabla ARP (ARP cache).

– Cada entrada en la tabla ARP suele ser “envejecida” para que luego de cierto tiempo de inactividad sea eliminada.

– Cuando una computadora recibe un ARP reply se actualiza su entrada en la tabla ARP.

– El protocolo ARP es stateless, por lo tanto la mayoría de los sistemas operativos actualizarán su cache si reciben una respuesta (reply), sin importar si enviaron o no un pedido (request).

13

ARP Spoofing

• Construir respuestas ARP falsas.

• Una máquina objetivo puede ser “convencida” de enviar frames a la computadora B, frames que originalmente estaban destinados a A.

• La computadora A no tendrá idea de esta redirección.

• Este proceso de actualizar la cache ARP de la máquina objetivo se conoce como

“ARP poisoning”.14

15

AIP:10.0.0.1

MAC:aa:aa:aa:aa

BIP:10.0.0.2

MAC:bb:bb:bb:bb

HackerIP:10.0.0.3

MAC:cc:cc:cc:cc

switch

IP MAC

10.0.0.2 bb:bb:bb:bb

ARP cache

IP MAC

10.0.0.1 aa:aa:aa:aa

ARP cache

ARP reply falsoIP:10.0.0.2

MAC:cc:cc:cc:ccA

RP

re

ply

fals

oIP

:10.

0.0

.2M

AC

:cc:

cc:c

c:cc

ARP reply falsoIP:10.0.0.2

MAC:cc:cc:cc:cc

16

AIP:10.0.0.1

MAC:aa:aa:aa:aa

BIP:10.0.0.2

MAC:bb:bb:bb:bb

HackerIP:10.0.0.3

MAC:cc:cc:cc:cc

switch

IP MAC

10.0.0.2 cc:cc:cc:cc

ARP cache

IP MAC

10.0.0.1 aa:aa:aa:aa

ARP cache

La cache ARP de A fue “envenenada”.

ARP Spoofing

• Desde ahora todos los paquetes que A pretende enviar a B van a la máquina del hacker.

• La entrada en la cache tiende a expirar por lo tanto deberá enviar nuevamente el ARP reply.– ¿Qué tan seguido?

– Depende del sistema particular.– Generalmente cada 40 segundos es suficiente.

17