ARP Spoofing

13/08/2016|Publicado por: Bienvenidos

A.-Definición:

Consiste en un tipo de ataque en el que un actor (sujeto persona física o software) con intenciones malintencionadas,  envía mensajes falsificados ARP (Address Resolution Protocol) a través de una red de área local. Esto da como resultado la vinculación de la dirección MAC de un atacante con la dirección IP de un equipo legítimo o servidor en la red. Una vez que la dirección MAC del atacante se conecta a una dirección IP auténtica, el atacante comenzará a recibir cualquier dato que está destinado a esa dirección IP.

B.-CONSECUENCIAS TÉCNICAS Y PERSONALES:

ARP Spoofing puede permitir a los atacantes para interceptar, modificar o incluso detener los datos en tránsito. Los ataques de suplantación ARP sólo pueden ocurrir en las redes de área local que utilizan el protocolo de resolución de direcciones.

Los efectos de los ataques de suplantación ARP pueden tener graves consecuencias para las empresas. En su aplicación más básica, los ataques de suplantación ARP se utilizan para robar información sensible. Más allá de esto, los ataques de suplantación de ARP se utilizan a menudo para facilitar otros ataques tales como:

1º.-Ataques de denegación de servicio: los ataques DoS a menudo destacan la suplantación ARP para enlazar varias direcciones IP con la dirección MAC de un solo objetivo. Como resultado, el tráfico que se destina para muchas direcciones IP diferentes será redirigido a la dirección MAC del destino, la sobrecarga de la diana con el tráfico.

2º.-Secuestro de sesión: ataques de secuestro de sesión pueden utilizar ARP Spoofing para robar los identificadores de sesión, la concesión de acceso a los atacantes y los sistemas privados de datos.

3º.-Man-in-the-middle ataques: ataques MITM pueden confiar en ARP Spoofing para interceptar y modificar el tráfico entre las víctimas.

C.-SOLUCIONES TECNOLÓGICO-LEGALES:

Los siguientes métodos son medidas recomendadas para la detección, prevención y protección contra ataques de suplantación ARP:

1º.-Se requiere un análisis previo por Abogado Especializado en Nuevas Tecnologías que sea Perito informático:

El profesional emitirá informe de viabilidad del Estado de la cuestión, tras un análisis previo de los datos suministrados por el cliente y en contraste con las pruebas tecnológicas. Las soluciones recomendadas son la práctica de una pericial informática forense, ante notario quien emitirá Acta notarial para luego iniciar acciones legales que deberán ser consultadas al profesional y que este mostrará en su hoja de encargo.

2º.-Desde un punto de vista tecnológico. Medidas:

2.1.-El filtrado de paquetes: Los filtros de paquetes inspeccionan los paquetes que se transmiten a través de una red. Los filtros de paquetes son útiles en la prevención ARP Spoofing, ya que son capaces de filtrar y bloquear los paquetes con información de la dirección fuente de conflicto (paquetes desde fuera de la red que muestran las direcciones de origen desde el interior de la red y viceversa).

2.2.-Evitar las relaciones de confianza: Las organizaciones deben desarrollar protocolos que se basan en relaciones de confianza lo menos posible. Las relaciones de confianza se basan únicamente en las direcciones IP para la autenticación, por lo que es mucho más fácil para los atacantes para ejecutar ataques de suplantación ARP cuando están en su lugar.

2.3.-Utilice software de detección de ARP Spoofing: Hay muchos programas disponibles que ayudan a las organizaciones detectar ataques de suplantación ARP. Estos programas de trabajo mediante la inspección y la certificación de los datos antes de su transmisión y el bloqueo de los datos que parece ser falsa.

2.4.-Utilizar protocolos de red criptográficos: Transport Layer Security (TLS), Secure Shell (SSH), HTTP seguro (HTTPS) y otros protocolos de comunicaciones seguras refuerzan ARP Spoofing prevención de ataques mediante el cifrado de los datos antes de la transmisión de datos y la autenticación cuando se recibe.

D.-RESUMEN:

Este tipo de ataques precisan un examen forense inmediato de los dispositivos informáticos afectados. El volcado y clonado de los datos obteniendo imagen fiel de todo, supone el paso previo para cualquier intervención legal posterior. Del examen forense, pudieran únicamente extraerse evidencias de las consecuencias que han facilitado o producido los ataques, sin poder obtener la autoría del atacante. Ahora bien, todo depende del origen del ataque: a) Ataque interno por conocimiento del estado de la red local de la víctima: se puede conocer los accesos y el ataque empleado. Hay que distinguirlo de un ataque con fines legítimos; b) Ataque externo: con Arpwatch que es un programa Unix que escucha respuestas ARP en la red, y envía una notificación vía correo electrónico al administrador de la red, cuando una entrada ARP cambia, se pueden detectar las intrusiones. Asimismo, comprobar la existencia de direcciones MAC clonadas (correspondientes a distintas direcciones IP) puede ser también un indicio de la presencia de ARP Spoofing, aunque hay que tener en cuenta, que hay usos legítimos de la clonación de direcciones MAC. Finalmente, con RARP (“Reverse ARP”, o ARP inverso) es el protocolo usado para consultar, a partir de una dirección MAC, su dirección IP correspondiente. Si ante una consulta, RARP devuelve más de una dirección IP, significa que esa dirección MAC ha sido clonada.

 

Abogado. Doctor en Derecho. Perito informático.

Deja un comentario


Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*


*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies