Master en Ingeniera de Computadores y Redes

ARP SPOOFING
DETECCION Y PREVENCION

Servidores Seguros
ngel Fernandez Diez

1Ii INTRODUCCION

En que consiste el ARP-SPOOFING?

El ataque se fundamenta en mandar mensajes ARP previamente falseados dentro de una LAN con la finalidad de asociarse con la direccion IP del nodo victima.

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

1Ii INTRODUCCION

En que consiste el ARP-SPOOFING?

Es una tecnica usada para espiar datos dentro de una LAN.

Manipulacion del trafico local.

Permite al atacante capturar credenciales y otra informacion privada que circule sin cifrar.

Suplantacion de identidad.
Es el punto de partida de otros ataques mas serios a nivel local.
ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

1Ii INTRODUCCION

Recordando el protocolo ARP Se envia un paquete con la IP referenciada a la direccion de broadcast (arp-request)

La maquina que posee esa IP reponde incluyendo su direccion fisica MAC asociada (arp-reply)
Cada maquina actualiza su cache ARP que esta formada por pares IP-MAC

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

ARP POISNING

Ejemplo grafico de cmo se produce un envenenamiento de las tablas ARP

El atacante modifica las tablas ARP-cache asociando su maquina con la salida y entrada de la maquina victima. La victima envia informacion a traves de la red de forma transparente y esta es direccionada al atacante. El atacante recibe la informacion sensible a ser manipulada o espiada. (Sniffing) El atacante se encarga de reenviarla a la puerta de enlace u otro usuario de la red local para no interrumpir el flujo de la conexin. (Reencaminamiento de datos)

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

2Ii DETECCION En equipo local El atacante que recibe la informacion debe activar el modo promiscuo que le permite recibir paquetes que no van destinados a el, por lo tanto este modo puede ser un indicador de un actividad maliciosa.

Tanto en windows como linux podemos consultarlo desde linea de comandos (ipconfig/ifconfig)

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

2Ii DETECCION

En red local
Con un sniffer podremos ver el uso duplicado de una misma direccion MAC para dos IP distintas.

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

2Ii DETECCION

En red local
Ping drop test: Este modo de deteccion esta basado en el estudio de las latencias medias entre dispositivos, mediante una solicitud ICMP con un paquete grande de datos (ping) veremos que la maquina sospechosa no es capaz de procesar todos los paquetes, incluso descartara muchos de ellos.

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

3Ii BLOQUEO Bloqueo y deteccion basado en software

Xarp: Es un programa multiplataforma dotado de entorno grafico encargado de la monitorizacion de las caches, actua alertandonos de posibles modificaciones en dichas tablas.

Arpwatch: Es un pequeo daemon para linux que nos avisa via email de cualquier modificacion realizada.
Arpon: Otro daemon para entornos Linux que detecta y bloquea automaticamente las intrusiones.

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

3Ii BLOQUEO El metodo Tablas ARP estaticas Es un metodo efectivo, consiste en evitar un cache dinamica mapeando directamente direcciones IP con sus correspondientes direcciones fisicas, este metodo resulta inconveniente en redes grandes al tener que editar las tablas a mano.

arp -parametro <direccion_ip> <direccion_fisica> -s Permite editar una entrada de la tabla -d Elimina una entrada

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

3Ii BLOQUEO El metodo DHCP Snooping Consiste en la aplicacin de una serie de tecnicas sobre el protocolo DHCP para asegurar la integridad de la cache y evitar modificaciones no deseadas. Una de las tecnicas es crear una whitelist que contenga las IP/MAC permitidas en el momento de asignarles una direccion dinamica, evitando asi el uso indebido de direcciones MAC. En la actualidad este metodo esta integrado en diversos switches.

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

4Ii CASO PRACTICO Descripcion del entorno Host principal OSX 10.5.6 Windows XP sobre VMware (victima) Ubuntu 10.10 sobre VMware (atacante)

Software usado
Ettercap-ng Xarp VMware Fusion

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros

4Ii CASO PRACTICO 192.168.1.1

MAN IN THE MIDDLE

192.168.1.37 192.168.1.36 Servidores Seguros

ngel Fernandez Diez afd675@correo.ugr.es

5Ii BIBLIOGRAFIA Publicaciones de la prensa especializada del sector http://electroweb.cujae.edu.cu/revista/index.php/rieac/article/vie w/35/pdf_16 http://www.linux-magazine.com/Issues/2006/73/ARP-WATCH www.rootsecure.net/content/downloads/pdf/arp_spoofing_intro. pdf Libros relacionados con la arquitectura de redes http://librostown.blogspot.com/2009/10/redes-decomputadores-james-f-kurose.html
Siempre habr un gusano ah afuera esperando a que te equivoques.

ngel Fernandez Diez afd675@correo.ugr.es

Servidores Seguros