Seguridad contra ARPspoofing

1.) Un enrutador necesita mantener una tabla ARP.

Todo dispositivo que quiera transmitir a otro dispositivo conectado directamente en función de la dirección de la capa de red debe traducirlo a la dirección de la capa de enlace. Un enrutador tendría que enrutar el paquete a otro enrutador (en este caso, debe buscar la dirección de la capa de enlace del otro enrutador) o a un dispositivo en una red directamente conectada a sí mismo (en este caso tiene que buscar) la dirección de capa de enlace del dispositivo). Dado que el enrutador recibe un paquete con una dirección de capa de red de un dispositivo en una red directamente conectada a él, buscará la dirección de capa de enlace en la tabla ARP y reenviará el paquete en consecuencia (en sus escenarios, ya sea directamente o mediante el interruptor) .

2.) Un conmutador puede mantener una tabla ARP.

Esto depende de si el conmutador funciona en la capa de enlace o en la capa de red. Si opera únicamente en la capa de enlace, solo conoce las direcciones de la capa de enlace. Solo recordará qué dirección de capa de enlace está conectada a cuál de sus puertos y reenviará los paquetes en consecuencia.

3.) Enrutamiento de paquetes que llegan desde Internet a través de un combo de cambio de enrutador

Los paquetes que llegan desde Internet a través de su combinación de enrutador-conmutador llegarán primero al enrutador, lo que sabría que el paquete está destinado a un dispositivo conectado a su conmutador (o más precisamente a un dispositivo ubicado en algún lugar del segmento de red conectado) al puerto del enrutador al que está conectado su conmutador). Esto lo sabe ya que la dirección de la capa de red del destino aparece en su tabla ARP. Cuando el paquete llegue al conmutador, sabría en cuál de sus puertos está conectado el dispositivo para el cual está destinado el paquete. Lo hace buscando en qué puerto está conectado el dispositivo con la dirección de capa de enlace del destino.

4.) ARP spoofing

Finalmente, la falsificación de ARP se hace suplantando a alguien al hacer que otros crean que la dirección de red de su objetivo debe asignarse a su dirección de capa de enlace en lugar de a la dirección de capa de enlace de objetivos, es decir, manipular las tablas ARP de otros dispositivos. En ambos escenarios, es posible la suplantación de ARP en la red local. Esto se debe al hecho de que se pueden manipular las tablas ARP en los dispositivos conectados al conmutador / enrutador. El conmutador / enrutador recibiría los paquetes que ya tenían configurada la dirección de capa de enlace incorrecta y solo los reenviaría a usted en lugar del destino deseado.

Un método simple y muy adaptable para proteger la red del acceso no autorizado es cambiar la seguridad del puerto. Para deshabilitar o apagar los puertos del switch no utilizados, navegue a cada puerto no utilizado y ejecute el comando shutdown. Si el puerto se va a reactivar, se puede habilitar con el comando no shutdown. Es sencillo realizar cambios de configuración en varios puertos en un switch. Si se debe configurar un rango de puertos, use el comando interface range. Puede consultar cómo funciona aquí . Interruptor (config) # interfaz tipo de módulo / primer número - último número

Aunque el proceso de habilitación e inhabilitación lleva mucho tiempo, pero mejora la seguridad de la red.

Existen algunos mecanismos de seguridad contra la falsificación de arp. A nivel de dispositivo, tienes software para Windows / Linux / Android. Por ejemplo, "arp guard" para Android o "arptables" para linux, etc. A nivel de switch, hay algunos switches avanzados (CISCO) que tienen una función llamada "seguridad de puerto", pero este tipo de switches son más caros. Puede consultar cómo funciona aquí .

Si su conmutador es una capa 2 del conmutador estándar del modelo OSI (enlace de datos), no entiende sobre ips, es cierto, y no va a tener una IP propia porque no es un conmutador configurable y puede No seas arp envenenado como víctima directa. Pero todos los switches tienen una memoria caché para almacenar arp macs. Memorizan qué puertos tienen qué direcciones de arp ... para que una víctima pueda ser envenenada con arp porque no le importa.

Solo toma los paquetes, mira cuál es la dirección de destino de arp y el lanzamiento solo a través de ese puerto para evitar el "antiguo comportamiento del hub" en el que todos los paquetes viajan a través de todos los puertos, causando muchas colisiones y permitiendo que los hackers Olfatea en cualquier puerto toda la red.

De todos modos, hay más tipos de ataques que se pueden hacer a los interruptores. Si su conmutador es CISCO y tiene una tabla de memoria direccionable de contenido (CAM) dinámica de tamaño fijo, puede ser atacado de otra manera, con una inundación de MAC. La tabla CAM almacena información como las direcciones MAC disponibles en los puertos físicos con sus parámetros VLAN asociados. Los hackers pueden usar algunas herramientas (como macof) para crear solicitudes con macs generados al azar para llenar toda la tabla porque ¿qué sucede cuando la tabla CAM está llena? entra en modo de fallo de apertura. En este estado, el switch cambia su comportamiento y comienza a transmitir cada paquete a cada puerto que actúa como un concentrador antiguo. Agradable para oler.

Por supuesto, también puedes intentar detectar esta configuración de las trampas snmp en los conmutadores para tener alertas y ese tipo de cosas.