Existem muitas maneiras de obter acesso a um sistema. O envenenamento ARP tem como alvo a maneira como nossos dispositivos se comunicam uns com os outros.
Ter uma única defesa de segurança cibernética não garante segurança total, pois os hackers continuam criando novas maneiras de invadir. Eles entendem que lançar ataques diretos não é mais tão eficaz, pois mecanismos avançados de segurança podem detectá-los facilmente. Esconder-se atrás de redes legítimas por meio de técnicas como ataques de envenenamento ARP facilita seu trabalho.
Com o envenenamento ARP, um cibercriminoso pode redirecionar seu endereço IP e interceptar suas comunicações em trânsito sem o seu conhecimento. Veja como esse método de ataque funciona e como você pode evitá-lo.
O que é um ataque de envenenamento por ARP?
Address Resolution Protocol (ARP) é um procedimento de conectividade que liga um protocolo de Internet (IP) endereço para o endereço físico estático de um controle de acesso de mídia (MAC) em uma rede local (LAN). Como os endereços do IP e MAC são de composições diferentes, eles não são compatíveis. O ARP reconcilia essa diferença para garantir que ambos os elementos estejam sincronizados. Caso contrário, eles não se reconheceriam.
Um ataque de envenenamento ARP é um processo pelo qual um intruso envia conteúdo malicioso por meio de uma rede local (LAN) para redirecionar a conexão de um endereço IP legítimo para seu endereço MAC. No decorrer disso, o invasor desloca o endereço MAC original que deveria se conectar ao endereço IP, permitindo que ele acesse as mensagens que as pessoas enviam para o endereço MAC autêntico.
Como funciona um ataque de envenenamento por ARP?
Várias redes podem funcionar em uma rede local (LAN) ao mesmo tempo. Cada rede ativa obtém um endereço IP específico que serve como meio de identificação e a diferencia das demais. Quando os dados das várias redes chegam ao gateway, o ARP os classifica de acordo, para que cada um vá direto para o destino pretendido.
O invasor cria e envia uma mensagem ARP falsa para o sistema com perfil. Eles adicionam seu endereço MAC e o endereço IP do alvo na mensagem. Ao receber e processar a falsa mensagem ARP, o sistema sincroniza o endereço MAC do invasor com o endereço IP.
Depois que a LAN conecta o endereço IP com o endereço MAC do invasor, o invasor começa a receber todas as mensagens destinadas ao endereço MAC legítimo. Eles podem espionar a comunicação para recuperar dados confidenciais em troca, modificar a comunicação inserindo conteúdo malicioso para auxiliar sua intenção, ou até mesmo deletando os dados em trânsito, para que o receptor não seja isto.
Tipos de ataques de envenenamento por ARP
Os cibercriminosos podem lançar ataques ARP de duas maneiras: falsificação e envenenamento de cache.
Falsificação de ARP
A falsificação ARP é um processo em que um ator de ameaça forja e envia uma resposta ARP ao sistema que está mirando. Uma resposta forjada é tudo o que o intruso deve enviar para o sistema em questão adicionar seu endereço MAC à lista de permissões. Isso torna a falsificação de ARP fácil de executar.
Os invasores também usam falsificação de ARP para realizar outros tipos de ataques, como seqüestro de sessão, onde eles assumir suas sessões de navegação e ataques Man-in-the-Middle onde eles interceptar comunicações entre dois dispositivos conectado a uma rede.
Envenenamento de Cache ARP
O envenenamento nesse tipo de ataque ARP decorre do invasor criar e enviar várias respostas ARP forjadas ao sistema de destino. Eles fazem isso a ponto de o sistema ficar sobrecarregado com entradas inválidas e não conseguir identificar suas redes legítimas.
O cibercriminoso que planeja a comoção do tráfego aproveitará a oportunidade para redirecionar os endereços IP para seus próprios sistemas e interceptar as comunicações que passam por eles. Atores de ameaças usam esse método de ataque ARP para facilitar outras formas de ataques, como negação de serviço (DoS) onde eles inundam o sistema de destino com mensagens irrelevantes para causar um engarrafamento e, em seguida, redirecionar o IP endereços.
Como você pode evitar um ataque de envenenamento por ARP?
Os ataques de envenenamento ARP têm impactos negativos em seu sistema, como a perda de dados críticos, uma queda em sua reputação devido à exposição de seus dados confidenciais, e até mesmo tempo de inatividade se o invasor adulterar elementos que conduzem seu rede.
Se você não deseja sofrer nenhuma das implicações acima, aqui estão algumas maneiras de evitar ataques de envenenamento por ARP.
1. Criar tabelas ARP estáticas
A tecnologia ARP não pode validar automaticamente endereços IP legítimos com seus endereços MAC. Isso dá aos cibercriminosos a oportunidade de forjar respostas ARP. Você pode corrigir essa brecha criando uma tabela ARP estática onde você mapeia todos os endereços MAC autênticos em sua rede para seus endereços IP legítimos. Ambos os componentes se conectarão e processarão apenas seus endereços correspondentes, eliminando a oportunidade de os invasores conectarem seus endereços MAC à rede.
A construção de tabelas estáticas ARP envolve muito trabalho manual, o que o torna demorado. Mas se você se esforçar, evitará vários ataques de envenenamento por ARP.
2. Implementar Inspeção ARP Dinâmica (DAI)
Dynamic ARP Inspection (DAI) é um sistema de segurança de rede que verifica os componentes ARP presentes em uma rede. Ele identifica conexões com endereços MAC ilegítimos tentando redirecionar ou interceptar endereços IP válidos.
A inspeção DAI verifica todas as solicitações de endereços ARP MAC-para-IP no sistema e confirma se são legítimas antes de atualizar suas informações no cache ARP e transmiti-las aos canais corretos.
3. Segmente sua rede
Os invasores executam ataques de envenenamento ARP, especialmente quando têm acesso a todas as áreas de uma rede. Segmentar sua rede significa que os vários componentes estarão em áreas diferentes. Mesmo quando um intruso obtém acesso a uma parte, há um limite para o controle que eles podem ter, pois alguns elementos não estão presentes.
Você pode solidificar sua segurança criando uma tabela ARP estática para cada segmento de sua rede. Dessa forma, é mais difícil para os hackers invadir uma única área, muito menos todas as áreas.
4. Criptografe seus dados
A criptografia pode não ter muito impacto em impedir que hackers se infiltrem em sua rede com ataques de envenenamento ARP, mas impedirá que eles modifiquem seus dados se os obtiverem. E isso porque criptografar dados impede que intrusos os leiam sem a chave de descriptografia válida.
Se os invasores de dados roubarem de um ataque de envenenamento ARP for inútil para eles devido à criptografia, eles não poderão dizer que o ataque foi bem-sucedido.
Evite ataques de envenenamento ARP com autenticação
Os ataques de envenenamento ARP prosperam quando não há parâmetros para proteger sua conectividade de rede contra invasões. Quando você cria uma lista de permissões de redes e dispositivos para aprovação, os itens que não estão na lista falharão na verificação de autenticação e não poderão entrar no seu sistema.
É melhor impedir que os agentes de ameaças entrem em seu sistema do que lidar com eles quando já estiverem dentro. Eles podem causar danos graves antes que você possa contê-los.