¿Qué es el ARP spoofing y cómo protegerse ante este ataque?

SeguridadCategoría
lectura de 7 minuto(s)
Andrés Rodríguez

En GoDaddy nos tomamos la seguridad web muy en serio. Tenemos una amplia gama de productos relacionados con ella, desde certificados SSL hasta productos específicos para la eliminación de malware en caso de que tu web haya sido infectada. También hemos publicado en nuestro blog diferentes artículos sobre ataques informáticos como el phishing o la suplantación de IP.

En esta ocasión hablaremos del protocolo ARP (abreviatura inglesa de Address Resolution Protocol), responsable de encontrar la dirección Ethernet MAC que corresponde a una determinada dirección IP, y cómo se suplanta para enviar tráfico web fuera de la página de destino original. ¡Vamos allá!

¿En qué consiste el ARP spoofing?

La suplantación de ARP (o ARP spoofing) implica el envío de mensajes engañosos a la Ethernet con el objetivo de asociar la dirección MAC del atacante con la dirección IP del nodo que se pretende atacar. La idea es que todo tráfico que se dirija a esa IP será enviado a elección del atacante, bien sea a la puerta de enlace real o a otra dirección. Este ataque puede hacerse controlando una máquina externa o bien usar una propia que esté conectada a la red local del objetivo.

La intención del hacker de turno es la de colarse en la comunicación entre el ordenador de destino y la máquina que realizó la petición, enviando información falsa para poder modificar los datos ARP de la petición y asociar, por tanto, la IP de salida con una dirección física falsa y de esta forma mantener esta conexión en el futuro para enviar todos los paquetes de datos que le interesan al hacker hacia su propio sistema y poder controlarlos a su antojo. Para que la operación tenga éxito, el hacker aprovecha la técnica Man in the Middle para reenviar el tráfico, aunque si piensa en ejecutar otro tipo de acciones, lo más probable es que acabes sufriendo un ataque por Denegación de servicio (DoS).

Algunos programas para hacer ARP spoofing

Buscando un poco, existen distintos programas de fácil alcance para realizar ARP spoofing, aunque en realidad se crearon originalmente para que los administradores de redes puedan hacer pruebas de seguridad y ver qué puntos débiles tienen las instalaciones que han montado en las empresas donde trabajan. Entre estas herramientas podemos encontrar las siguientes:

  • ARP0c: Es herramienta que intercepta conexiones en una red local privada enviando, mediante un mecanismo interno del software, paquetes de respuesta falsificados que derivan el tráfico de datos hacia el sistema donde está instalado ARP0c. Disponible en Linux y Windows, es un programa que se puede descargar gratis en la página web del fabricante.
  • Cain&Abel: En este caso estamos ante un programa que permite recuperar contraseñas perdidas, descifrar contraseñas de sistemas ajenos y capturar tráfico en redes locales. Es una herramienta muy completa cuya versión más actualizada permite también intervenir en conexiones SSH y HTTPS, además de tener presencia en el tráfico de datos de redes WLAN y aquellas redes WiFi protegidas por WPA.
  • Ettercap: Su principal cometido es actuar en ataques Man in the Middle, aunque también permite automatizar ataques de ARP, recolección de contraseñas o atacar conexiones protegidas por SSH o SSL.
  • FaceNiff: Si tienes un smartphone en modo root (es decir, que permita acceder a todo el contenido sin restricciones del sistema operativo instalado) y quieres hacerte con el control de cuentas de Facebook, Amazon o Twitter, es tu herramienta. Los hackers la usan con móviles Android en combinación con el navegador web que incluye por defecto el proyecto de código abierto AOSP.
  • NetCut: diseñado para optimizar la gestión de redes, los administradores pueden identificar con este programa a todos los dispositivos conectados a la red y desconectarlos si es necesario por motivos de seguridad.

¿Cómo se pueden proteger nuestros equipos ante un ataque ARP spoofing?

El ARP poisoning afecta a las redes IPv4 e IPv6, aunque en este último caso su introducción vino aparejada con la regulación de cómo se resolvían las direcciones en una red LAN a través del protocolo NDP (Neighbor Discovery Protocol, por sus siglas en inglés). Este protocolo tiene pegas y es que se presta a propagar el spoofing. Para asegurar la comunicación, lo ideal es emplear el protocolo Secure Neighbor Discovery (SEND), que solo es compatible con los sistemas operativos más modernos y actualizados.

Otra forma de proteger tus equipos frente a la suplantación ARP consiste en subdividir la red en varias partes, de forma que si existe un intento de personas ajenas a la organización y este tiene éxito, que sea solamente en una parte y que no afecte a la red en global. Este sistema requiere hacer una instalación de red más compleja, con el incremento de coste que supone.

Imagen de varios cables conectados a Internet en un rack, posible objetivo de un ataque arp spoofing

Una tercera vía para analizar los sistemas y ver vulnerabilidades es la utilización de programas programas de monitorización como Arpwatch, ARP-Guard o XArp, todos de código abierto y que ofrecen numerosas ventajas:

  • Arpwatch: encargada de registrar todas las actividades vinculadas al protocolo ARP en la red LAN instalada en una empresa. Su funcionamiento se basa en recoger los datos de las direcciones de todos los paquetes entrantes y guarda esos registros en una base de datos única. Es un sistema muy efectivo, pero solo se recomienda su uso en aquellas empresas que instalan redes con direcciones IP estáticas. Si se instala en IP dinámicas, cada cambio de IP supone un aviso para el sistema de que algo no está funcionando correctamente, lo que puede convertirse en un quebradero de cabeza para los administradores del sistema.
  • ARP-Guard: De forma similar a Arpwatch, analiza los paquetes de datos entrantes y en caso de encontrar datos sospechosos o envíos cuya procedencia es desconocida, hace saltar la alarma y paraliza cualquier operación en la red. A mayores, se instala un sensor con el cual accede a los dispositivos conectados en la LAN y lee todos los registros anotados en el protocolo ARP. Con esta metodología consigue detectar dispositivos extraños e impedir su acceso a la red empresarial.
  • XArp: desarrollado en base a módulos activos que envían paquetes a la red para validar los dispositivos conectados y suministrarles datos válidos, y en base a módulos pasivos que analizan paquetes enviados en la red y comparan las direcciones tal y como están asociadas a los registros más antiguos guardados en el sistema. Si algo no cuadra, se paraliza todo.

Más información...

Como sabemos que este artículo aporta información pero solo hemos hablado de un ataque específico, además de los artículos mencionados al principio os dejamos a continuación una lista con más posts de nuestro blog donde recogemos tipologías y medidas que podemos poner para evitar arriesgar nuestro negocio o nuestra vida personal: