Envenenamiento arp
Páginas: 16 (3922 palabras)
Publicado: 18 de enero de 2012
ENVENENAMIENTO ARP
Seguridad en redes conmutadas
Sergio Valín Cabrera. Telemática. 78621271-A correocid@hotmail.com
INDICE
Introducción 1.- Protocolo ARP..............................................................pág 3 2.- Vulnerabilidad..............................................................pág 4 3.-Ettercap........................................................................pág 5 4.- Soluciones....................................................................pág 9 5.- Conclusión..................................................................pág 11 6.- Bibliografía................................................................pág 12
INTRODUCCIÓN
Unos de los puntos principales que han sido siempre motivo de quebraderos de cabeza para administradores ygestores de redes es el tema de la seguridad. La seguridad en la manera de mantener íntegra y salvo toda la información confidencial que viaja através de la misma red, manteniendo cifrados seguros, evitando escuchas ajenas , accesos seguros y un largo etc... En este breve , pero conciso trabajo, nos centraremos en un tipo de vulnerabilidad en concreto en redes de arquitectura IEEE 802 o las antiguasDIX Ethernet que es posible hoy día explotar de manera relativamente fácil con algunas herramientas potentes que existen en Internet. Hablamos del envenenamieto de ARP o ARP-poissoning. Como su propio nombre indica, el objetivo es envenenar la comunicacion que se produce en el protocolo de comunicacion de paquetes ARP, que es el protocolo de resolución de direcciones responsable de convertir lasdirecciones de protocolo de alto nivel (direcciones IP) a direcciones de red físicas (MAC). Así pues, este breve trabajo explicaremos básicamente el funcionamiento del protocolo ARP, para centrarnos en donde puede afectar a la seguridad de nuestra red, y una vez hallamos definido el problema y el punto débil, veremos la potencia de la herramienta Ettercap que es capaz de explotar satisfactoriamentela vulnerabilidad a la que nos referimos. Finalmente , conociendo las posibilidades que la vulnerabilidad brinda a posibles atacantes, mostraremos algunas posibles soluciones que evitarán que nuestra red sea vulnerable a hosts maliciosos.
2 .PROTOCOLO ARP
En una red tipo IEEE 802/Ethernet los hosts se comunican conociendo sus direcciones MAC, y no siempre sabremos ni dispondremos a mano detodas las direcciones MAC de todos los ordenadores que conforman la red. Como hemos dicho, el protocolo ARP será el encargado de obtener las direcciones físicas a partir de direcciones IP. En este tipo de redes es necesario conocer la MAC del destino con el fin de que solo el paquete llegue al interfaz de red correspondiente y no a otro, así que cuando se quiere producir una comunicación entre unhost1 y un host2 en este tipo de redes, se tendrán que realizar una serie de pasos para llevar a cabo una comunicación correcta. Como observamos, el concepto de ARP solo cobra sentido si nos encontramos en el ámbito de redes conmutadas, pues de lo contrario no sería necesario conocer la MAC del destino dentro de la red, pues la información se enviaría en modo multidifusión a todos los equipos de lared. Imaginemos los siguientes datos y que el host1 quiere enviar paquetes al host2: HOST1 -> Dirección IP: 10.11.11.1 ; MAC: 11:11:11:11:11:11 HOST2 -> Dirección IP: 10.11.11.2 ; MAC: 22:22:22:22:22:22 Los primero que debemos preguntarnos es: ¿ conoce host1 la dirección MAC del host2 ?. En caso de no conocerla es cuando el protocolo ARP actuará para averiguar a partir de la IP del destino (host2, que sí la conocemos) su correspondiente MAC. Esta comunicación se encapsula en tramas tipo Ethernet de formato como el que sigue:
TIPO DE PROTOCOLO -> Indica a que tipo de protocolo pertenece la trama
(0x0806 indica ARP).
HLEN -> Longitud dirección MAC. PLEN -> Longitud dirección IP. OPERACION -> Código de operación (ARP-request o ARP-reply). SENDER HA -> Dirección de origen hardware....
Seguridad en redes conmutadas
Sergio Valín Cabrera. Telemática. 78621271-A correocid@hotmail.com
INDICE
Introducción 1.- Protocolo ARP..............................................................pág 3 2.- Vulnerabilidad..............................................................pág 4 3.-Ettercap........................................................................pág 5 4.- Soluciones....................................................................pág 9 5.- Conclusión..................................................................pág 11 6.- Bibliografía................................................................pág 12
INTRODUCCIÓN
Unos de los puntos principales que han sido siempre motivo de quebraderos de cabeza para administradores ygestores de redes es el tema de la seguridad. La seguridad en la manera de mantener íntegra y salvo toda la información confidencial que viaja através de la misma red, manteniendo cifrados seguros, evitando escuchas ajenas , accesos seguros y un largo etc... En este breve , pero conciso trabajo, nos centraremos en un tipo de vulnerabilidad en concreto en redes de arquitectura IEEE 802 o las antiguasDIX Ethernet que es posible hoy día explotar de manera relativamente fácil con algunas herramientas potentes que existen en Internet. Hablamos del envenenamieto de ARP o ARP-poissoning. Como su propio nombre indica, el objetivo es envenenar la comunicacion que se produce en el protocolo de comunicacion de paquetes ARP, que es el protocolo de resolución de direcciones responsable de convertir lasdirecciones de protocolo de alto nivel (direcciones IP) a direcciones de red físicas (MAC). Así pues, este breve trabajo explicaremos básicamente el funcionamiento del protocolo ARP, para centrarnos en donde puede afectar a la seguridad de nuestra red, y una vez hallamos definido el problema y el punto débil, veremos la potencia de la herramienta Ettercap que es capaz de explotar satisfactoriamentela vulnerabilidad a la que nos referimos. Finalmente , conociendo las posibilidades que la vulnerabilidad brinda a posibles atacantes, mostraremos algunas posibles soluciones que evitarán que nuestra red sea vulnerable a hosts maliciosos.
2 .PROTOCOLO ARP
En una red tipo IEEE 802/Ethernet los hosts se comunican conociendo sus direcciones MAC, y no siempre sabremos ni dispondremos a mano detodas las direcciones MAC de todos los ordenadores que conforman la red. Como hemos dicho, el protocolo ARP será el encargado de obtener las direcciones físicas a partir de direcciones IP. En este tipo de redes es necesario conocer la MAC del destino con el fin de que solo el paquete llegue al interfaz de red correspondiente y no a otro, así que cuando se quiere producir una comunicación entre unhost1 y un host2 en este tipo de redes, se tendrán que realizar una serie de pasos para llevar a cabo una comunicación correcta. Como observamos, el concepto de ARP solo cobra sentido si nos encontramos en el ámbito de redes conmutadas, pues de lo contrario no sería necesario conocer la MAC del destino dentro de la red, pues la información se enviaría en modo multidifusión a todos los equipos de lared. Imaginemos los siguientes datos y que el host1 quiere enviar paquetes al host2: HOST1 -> Dirección IP: 10.11.11.1 ; MAC: 11:11:11:11:11:11 HOST2 -> Dirección IP: 10.11.11.2 ; MAC: 22:22:22:22:22:22 Los primero que debemos preguntarnos es: ¿ conoce host1 la dirección MAC del host2 ?. En caso de no conocerla es cuando el protocolo ARP actuará para averiguar a partir de la IP del destino (host2, que sí la conocemos) su correspondiente MAC. Esta comunicación se encapsula en tramas tipo Ethernet de formato como el que sigue:
TIPO DE PROTOCOLO -> Indica a que tipo de protocolo pertenece la trama
(0x0806 indica ARP).
HLEN -> Longitud dirección MAC. PLEN -> Longitud dirección IP. OPERACION -> Código de operación (ARP-request o ARP-reply). SENDER HA -> Dirección de origen hardware....
Leer documento completo
Regístrate para leer el documento completo.