Redes: Protocolo Arp

22,362 views

Published on

Definición del protocolo ARP, funcionamiento y seguridad dentro de una red local. ARP Spoofing en un entorno linux.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
22,362
On SlideShare
0
From Embeds
0
Number of Embeds
96
Actions
Shares
0
Downloads
506
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Redes: Protocolo Arp

  1. 1. Protocolo ARP Address Resolution Protocol Protocolo de Resolución de Direcciones
  2. 2. ARP ¿Por qué? <ul><li>La MAC es una dirección de la capa de enlace de datos que depende del hardware que se utilice. También se conoce como dirección Ethernet o dirección de control de acceso al medio (MAC). </li></ul><ul><li>La dirección IP trabaja en la capa de red y no entiende nada acerca de MACs que manejan nodos induviduales dentro de la red. </li></ul><ul><li>Se necesita un protocolo estándar que los relacione para que un datagrama pueda llegar a su destino. El protocolo ARP recogido en la RFC826. </li></ul>
  3. 3. ARP El mensaje <ul><li>Tipo de HW: Identifica el tipo de hardware que se utiliza: Ethernet, ATM, HDLC, ... </li></ul><ul><li>Tipo de Protocolo: IPv4 </li></ul><ul><li>Tamaño de dirección HW: para Ethernet (MAC) son 6 bytes. </li></ul><ul><li>Tamaño de dirección de protocolo: Para la IPv4 son 4 bytes. </li></ul><ul><li>Operación ARP: Petición o respuesta. </li></ul>Tipo de HW Tipo de Protocolo Tamaño de dirección HW Operación ARP Tamaño de dirección protocolo Dirección HW origen Dirección protocolo origen Dirección HW destino Dirección protocolo destino
  4. 4. ARP El mensaje <ul><li>Utilizando Wireshark </li></ul>
  5. 5. ARP ¿Cómo funciona? <ul><li>Tenemos un host A que quiere mandar un datagrama a la dirección IP pero si no conoce la dirección Ethernet que tiene, por lo que mandará una petición ARP en difusión y el que tiene la IP de petición procederá a almacenar el par de direcciones del solicitante y después contestará. </li></ul><ul><li>Al llegar al origen el par que se solicitaba se almacenará. </li></ul><ul><li>El almacenamiento de los pares de direcciones se realizan en una tabla local que cada host tiene que se llama caché ARP. </li></ul>
  6. 6. Caché ARP <ul><li>Debido a que la red debe de estar continuamente comunicandose para la resolución de direcciones ésta puede convertirse en un problema debido al consumo de recursos en la red. </li></ul><ul><li>Debido a que la petición es en difusión todos los host deben de gastar un tiempo de CPU preciado para examinar el paquete de petición. </li></ul><ul><li>Se solucionó con una tabla local en la que guardar los pares de direcciones. </li></ul><ul><li>Existen dos formas de almacenamiento en la cache: </li></ul><ul><ul><li>Estático </li></ul></ul><ul><ul><li>Dinámico </li></ul></ul><ul><li>Puede ser vulnerable a un ataque de falsificación de paquetes ARP: ARP Spoofing. </li></ul>
  7. 7. Envenenamiento ARP <ul><li>Este tipo de vulnerabilidad consiste en el envenenamiento de las tablas ARP de los host implicados. </li></ul><ul><li>También conocido como ARP Spoofing, Falsificación ARP... </li></ul><ul><li>Se aprovecha de que las tablas son dinámicas y cambian conforme le llegan respuestas ARP, aunque no hayan pedido petición ninguna. </li></ul>
  8. 8. Envenenamiento ARP: Escenario <ul><li>Tenemos un router, y dos host una la víctima y otra el atacante. </li></ul><ul><li>El objetivo es envenenar la tabla ARP para poder llegar a situarse en medio de la comunicación entre el router y el host de la víctima. Este método se conoce como MITM (Man in the Middle). </li></ul><ul><li>Utilizar un cliente de mensajería para comprobar la vulnerabilidad a la hora de mandar mensajes. </li></ul>
  9. 9. Envenenamiento ARP: Herramientas <ul><li>Distribución linux preferida. Ubuntu Jaunty Jackalope. </li></ul><ul><li>dnsspoof </li></ul><ul><li>wireshark </li></ul>
  10. 10. Envenenamiento ARP Manos a la obra <ul><li>Después de instalar todas las herramientas necesarias necesitamos poner el ip_forward a 1 para habilitar el reenvio de paquetes desde nuestro equipo atacante. </li></ul><ul><li>Ahora utilizando una herramienta que es parte de DnsSpoof invocamos los procesos para envenenar las caché ARP </li></ul>
  11. 11. Envenenamiento ARP La obra continua <ul><li>Si en el host de la víctima visualizamos su cache ARP podemos encontrarnos con lo siguiente: </li></ul><ul><li>Donde antes teníamos </li></ul><ul><li>Imaginemos que utilizamos un cliente de mensajería, el MSN y escribimos algunos mensajes a algún contacto: </li></ul>
  12. 12. Envenenamiento ARP El destape <ul><li>Ahora utilizando el programa Wireshark y utilizando como filtro msnms </li></ul>
  13. 13. Envenenamiento ARP Para curiosos <ul><li>A este método se le puede añadir la falsificación de DNS con dnsspoof por ejemplo de Gmail para que pase toda la información a nuestro host atacante y despues utilizar ssldump para poder desencriptar el contenido seguro. </li></ul>
  14. 14. Posibles soluciones <ul><li>Una posible solución pasa por insertar de manera estática la caché ARP esto puede ser demasiado costoso cuando hablamos de muchos host en la red. </li></ul><ul><li>Otra solución viene implementada en algunos dispositivos en los que se evita este tipo de ataque y se conoce como DHCP Snooping </li></ul><ul><li>Para detectarlo puede hacerse uso del protocolo RARP que es el ARP inverso en el que se pregunta por una dirección Ethernet y devuelve una IP. </li></ul>
  15. 15. Conclusión <ul><li>Como hemos visto en el mundo de las redes de la información no siempre todo es seguro. </li></ul><ul><li>Hemos visto que el ataque es en una LAN, pero conocemos muy bien las vulnerabilidades existentes hoy en día en las redes inalámbricas, por lo que podrían acceder a la red local sin ningún problema. </li></ul><ul><li>Tienen que tomarse medidas preventivas y curativas para evitar que la seguridad de la información quede vulnerada. </li></ul>
  16. 16. Bibliografía y direcciones de interés <ul><li>http://www.ietf.org/rfc/rfc826.txt </li></ul><ul><li>http://www.tcpipguide.com/free/t_AddressResolutionandtheTCPIPAddressResolutionProto.htm </li></ul><ul><li>http://es.wikipedia.org/wiki/ARP_Spoofing </li></ul><ul><li>http://www.oxid.it/downloads/apr-intro.swf </li></ul><ul><li>http://technet.microsoft.com/es-es/library/cc758357(WS.10).aspx </li></ul><ul><li>http://technet.microsoft.com/es-es/library/cc755489(WS.10).aspx </li></ul><ul><li>http://foro.elhacker.net/hacking_avanzado/esnifando_redes_conmutadasarp_spoof_mitm_sniffer_sobre_ssl-t223015.0.html;msg1058386 </li></ul><ul><li>http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html </li></ul>

×