sudo: Jack of all trades, master of some

Cuidado con el veneno

8 comentarios

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards.
Gene Spafford

Amateurs hack systems, professionals hack people.
Bruce Schneier

Es muy raro que incluya dos citas en una sola entrada, pero en esta hago la excepción. La intención es hacer énfasis en que no hay sistema seguro y que no solo los hackers pueden hacer mella de las vulnerabilidades en una red de computadoras.

El título de la entrada no es más que una forma ‘graciosa’ de referirme a un tipo de ataque de red bastante común y que la mayoría de las veces pasa desapercibido: el ARP Poisoning.

Protocolo ARP

Para entender este tipo de ataque es necesario conocer cómo funciona el protocolo ARP (Address Resolution Protocol).
El protocolo ARP consiste básicamente en cuatro mensajes:

Todos los dispositivos de red tienen una tabla ARP en memoria, en formas de pequeñas bases de datos, donde se almacenan todas las direcciones IP con las direcciones físicas asociadas, asegurando así que no se tengan que repetir las solicitudes ARP entre dispositivos que ya se hayan comunicado.

El protocolo ARP no tiene forma de verificar la autenticidad de los equipos de la red, cuando un dispositivo envía una solicitud, este confía plenamente en que la respuesta que recibe la envia el dispositivo correcto. Este comportamiento puede ser explotado por cualquier usuario malicioso generando ataques de tipo Man In The Middle (MITM) entre otros.

Man In The Middle

En particular MITM es un ataque bastante agresivo en el que el atacante puede esnifar el tráfico que circula en la red y capturar información sensible. Básicamente MITM funciona de la siguiente manera:

Pongamos la situación en la que el atacante quiera interceptar el tráfico entre una máquina y el router de internet. Como el nombre lo indica, el atacante se situa en medio de estos dos y comienza a enviar respuestas ARP no solicitadas al router, asociando la IP de la víctima con su MAC.

Posteriormente el atacante envía respuestas de la misma naturaleza a la víctima, asociando su MAC con la dirección IP del router. De modo que el router ‘piensa’ que la víctima es la máquina del atacante y la víctima ‘piensa’ que el router es la máquina del atacante lo que implica que todo el tráfico pueda ser interceptado por el usuario malicioso.

Finalmente el atacante activa IP forwarding lo que le permite reenviar los paquetes que recibe de la víctima al router. De esta manera todo el tráfico puede esnifarse a placer.

¿Protección?

El protocolo ARP tiene esta vulnerabilidad desde hace más de 30 años y no han habido cambios para impedir tal debilidad, sin embargo solamente se puede explotar en redes locales (LAN) y el atacante necesita estar físicamente en la red. Existen formas de evitar el ARP Poisoning que pueden ser pasivas o activas.

Static ARP

Esta forma es bastante complicada de mantener, ya que se necesitan cada una de las direcciones físicas con sus direcciones IP asociadas y generar entradas ARP estáticas en cada uno de los dispositivos de la red, en redes muy grandes se hace muy difícil mantener esta práctica.

Herramientas de monitoreo

Las herramientas de monitoreo no evitan el ARP poisoning solamente detectan estos comportamiento y alertan.

Colofón

Es un hecho, tenemos que convivir con esta vulnerabilidad y las medidas que se tomen para contrarrestarla a mi entender nunca serán suficientes, cada uno de los servicios y componentes de la red debe ser invidualmente asegurados para evitar males mayores. Tráfico encriptado, no circular información sensible en la red, actualizar los sistemas operativos así como los servicios, son medidas que pueden mitigar estos ataques.

Comentarios desactivados
  1. Rafael Castro 5 años atrás

    Kali Linux has a good bunch tools for this, and more.

  2. Ingeniosas las citas, donde las encontraste?

  3. akagami-neko 5 años atrás

    hombre muy bueno el tema
    cuando hablas de static arp te refieres a que el server DHCP tenga las direcciones estaticas? o sea cuando ocurra el ataque el server no le facilita la info?
    podrias facilitarme algun prog de monitoreo compatible para win serv 2008?
    si sabes de algun ftp nacional que lo tenga tambien me sirve
    gracias de antemano

    1. @akagami-neko

      Cuando me refiero al ARP estático es que la tabla ARP nunca se mueva, simplemente mantener las entradas fijas en cada uno de los dispositivos involucrados.
      Desgraciadamente para Windows no tengo muchas cosas.

      1. milliarage 4 años atrás
        @oneohthree

        sabes que los seres humanos se maltratan mutuamente y asi trasmiten el veneno entre ellos por eso que no avanzan nunca por ese veneno muro

  4. dhunter 5 años atrás

    Para esto lo mejor es tener los servidores en una DMZ protegida de intrusos y en la LAN de los usuarios ponerle entradas ARP estáticas para el gateway, con esto minimizas cualquier MITM al tráfico hacia los servicios.

    1. @dhunter

      Completamente de acuerdo. El único modo efectivo para mitigar estos ataques es el ARP estático. Y como bien dices, por lo menos en los dispositivos por donde viaja información importante.

  5. richard 5 años atrás

    con el WireShark no hay historia