¿Funciona la suplantación ARP en * todas * las LAN?

7

Entiendo cómo funciona la falsificación de ARP en una red conmutada: el atacante le dice al enrutador que él es la víctima, luego le dice a la víctima que es el enrutador. Mi pregunta es: en redes grandes, como redes corporativas y universitarias, ¿sigue siendo tan simple? Supongo que habría más de un enrutador, etc. ¿Qué tipo de medidas pueden tomar las redes corporativas para protegerse de los ataques de suplantación de identidad de ARP?

    
pregunta Elliot Gorokhovsky 13.08.2016 - 01:11
fuente

2 respuestas

6

Depende de la clase del conmutador, por ejemplo:

  • Los enrutadores wifi y los enrutadores domésticos tienen aislamiento de LAN, sin embargo, este suele estar desactivado de forma predeterminada
  • Los conmutadores de clase de campus de Capa 2/3 generalmente tienen un filtro ARP, pero si no está habilitado, se puede falsificar la dirección IP o MAC desde una VLAN diferente (puede usar la misma MAC o una diferente para cualquier dirección IP). El que quiero decir aquí es el implementado en la puerta de enlace de la Capa 3.
  • Algunos nuevos campus, como los conmutadores (a partir de 2016) también tienen incorporado el aislamiento de LAN, sin embargo, no está habilitado de forma predeterminada, lo que ayuda a la falsificación de ARP
  • Algunas redes requieren autenticación IEEE 802.1X para conectarse al puerto, generalmente se debe usar equipo corporativo y no privado. Esto a menudo evita la suplantación de ARP, pero no siempre, depende de cómo se use, a veces es fácil de vencer.
  • Algunas redes tienen aprendizaje de MAC y no permiten la suplantación de identidad (por ejemplo, permiten solo MAC específico en un solo puerto), esto es bastante raro pero existe. Así que esto funciona al controlar los interruptores y bloquear a los atacantes.
  • Es posible que algunas redes requieran que le suministre su MAC que está configurado para el puerto, y de esta manera también puede evitar el envío de solicitudes / respuestas ARP maliciosas
  • Dependiendo del proveedor del conmutador, puede haber otras funciones que ayuden con la falsificación de ARP, generalmente en el conmutador de Capa 2 como la inspección dinámica de ARP.
  • Es bastante fácil hacer una política de conmutación para que cada puerto del cliente pueda intercambiar paquetes solo con el puerto del enrutador sin necesidad de la función de aislamiento de LAN, sin embargo, no hay mucha gente que lo haga.
respondido por el Aria 13.08.2016 - 03:16
fuente
4

La falsificación de ARP es fácil de detectar. Si un enrutador ve un paquete de anuncio ARP para una dirección IP que sabe que ya está asociado con un puerto o dirección MAC diferente, puede bloquearlo, cerrar el puerto del que proviene el paquete o realizar otra acción apropiada. Cualquier IDS decente recogerá un ataque de suplantación ARP. Dicho todo esto, encuentro que es bastante raro que incluso las redes corporativas se molesten en tener este tipo de protección.

(Por supuesto, si solo usas IPSec o TLS para todo como deberías, no hay problema aquí, ¿verdad?)

    
respondido por el Reid Rankin 13.08.2016 - 02:38
fuente

Lea otras preguntas en las etiquetas