Ci sono molti modi per ottenere l'accesso a un sistema. L'avvelenamento da ARP prende di mira un modo in cui i nostri dispositivi comunicano tra loro.
Avere un'unica difesa per la sicurezza informatica non garantisce la sicurezza totale poiché gli hacker continuano a escogitare nuovi modi per sfondare. Capiscono che il lancio di attacchi diretti non è più così efficace poiché i meccanismi di sicurezza avanzati possono rilevarli facilmente. Nascondersi dietro reti legittime tramite tecniche come gli attacchi di avvelenamento ARP semplifica il loro lavoro.
Con l'avvelenamento ARP, un criminale informatico può reindirizzare il tuo indirizzo IP e intercettare le tue comunicazioni in transito a tua insaputa. Ecco come funziona questo metodo di attacco e come prevenirlo.
Che cos'è un attacco di avvelenamento ARP?
Address Resolution Protocol (ARP) è una procedura di connettività che collega un protocollo Internet (IP) indirizzo all'indirizzo fisico statico di un Media Access Control (MAC) su una rete locale (LAN). Poiché gli indirizzi IP e MAC hanno composizioni diverse, non sono compatibili. ARP riconcilia questa differenza per garantire che entrambi gli elementi siano sincronizzati. Altrimenti non si riconoscerebbero.
Un attacco di avvelenamento ARP è un processo mediante il quale un intruso invia contenuti dannosi tramite una rete locale (LAN) per reindirizzare la connessione di un indirizzo IP legittimo al proprio indirizzo MAC. Nel corso di ciò, l'attaccante sposta l'indirizzo MAC originale che dovrebbe connettersi all'indirizzo IP, consentendo loro di accedere ai messaggi che le persone inviano all'indirizzo MAC autentico.
Come funziona un attacco di avvelenamento ARP?
Diverse reti possono funzionare contemporaneamente su una rete locale (LAN). Ogni rete attiva ottiene un particolare indirizzo IP che funge da mezzo di identificazione e la differenzia dalle altre. Quando i dati delle varie reti arrivano al gateway, l'ARP li ordina di conseguenza, quindi ognuno va direttamente alla destinazione prevista.
L'attaccante crea e invia un falso messaggio ARP al sistema profilato. Aggiungono il loro indirizzo MAC e l'indirizzo IP del target nel messaggio. Dopo aver ricevuto ed elaborato il falso messaggio ARP, il sistema sincronizza l'indirizzo MAC dell'aggressore con l'indirizzo IP.
Una volta che la LAN collega l'indirizzo IP con l'indirizzo MAC dell'intruso, l'intruso inizia a ricevere tutti i messaggi destinati all'indirizzo MAC legittimo. Possono intercettare la comunicazione per recuperare dati sensibili in cambio, modificare la comunicazione tramite inserendo contenuti dannosi per aiutare il loro intento, o addirittura eliminare i dati in transito, in modo che il destinatario non li riceva Esso.
Tipi di attacchi di avvelenamento ARP
I criminali informatici possono lanciare attacchi ARP in due modi: Spoofing e Cache poisoning.
Spoofing ARP
Lo spoofing ARP è un processo in cui un attore di minacce falsifica e invia una risposta ARP al sistema preso di mira. Una risposta contraffatta è tutto ciò che l'intruso deve inviare al sistema in questione per aggiungere il proprio indirizzo MAC alla whitelist. Questo rende lo spoofing ARP facile da eseguire.
Gli aggressori utilizzano anche lo spoofing ARP per eseguire altri tipi di attacchi come il dirottamento di sessione dove si trovano prendere il controllo delle tue sessioni di navigazione e Man-in-the-Middle attacca dove loro intercettare le comunicazioni tra due dispositivi connesso a una rete.
Avvelenamento della cache ARP
L'avvelenamento in questo tipo di attacco ARP deriva dal fatto che l'attaccante crea e invia più risposte ARP contraffatte al proprio sistema bersaglio. Lo fanno al punto in cui il sistema è sopraffatto da voci non valide e non può identificare le sue reti legittime.
Il cybercriminale che progetta la confusione del traffico coglierà l'opportunità per reindirizzare gli indirizzi IP ai propri sistemi e intercettare le comunicazioni che li attraversano. Gli attori delle minacce utilizzano questo metodo di attacco ARP per facilitare altre forme di attacchi come Denial of Service (DoS) dove inondano il sistema di destinazione con messaggi irrilevanti per causare un ingorgo e quindi reindirizzare l'IP indirizzi.
Come si può prevenire un attacco di avvelenamento ARP?
Gli attacchi di avvelenamento ARP hanno impatti negativi sul tuo sistema come la perdita di dati critici, un'ammaccatura nella tua reputazione a causa dell'esposizione dei tuoi dati sensibili e persino dei tempi di inattività nel caso in cui l'attaccante manometta gli elementi che guidano il tuo rete.
Se non vuoi subire nessuna delle implicazioni di cui sopra, ecco i modi per prevenire gli attacchi di avvelenamento ARP.
1. Crea tabelle ARP statiche
La tecnologia ARP non può convalidare automaticamente gli indirizzi IP legittimi con i loro indirizzi MAC. Ciò offre ai criminali informatici l'opportunità di falsificare le risposte ARP. Puoi correggere questa scappatoia creando una tabella ARP statica in cui mappi tutti gli indirizzi MAC autentici sulla tua rete ai loro indirizzi IP legittimi. Entrambi i componenti si collegheranno ed elaboreranno solo i loro indirizzi corrispondenti, eliminando la possibilità per gli aggressori di connettere i loro indirizzi MAC alla rete.
La creazione di tabelle statiche ARP comporta molto lavoro manuale che richiede molto tempo. Ma se ti impegni, previeni diversi attacchi di avvelenamento ARP.
2. Implementare l'ispezione ARP dinamica (DAI)
Dynamic ARP Inspection (DAI) è un sistema di sicurezza di rete che verifica i componenti ARP presenti su una rete. Identifica le connessioni con indirizzi MAC illegittimi che tentano di reindirizzare o intercettare indirizzi IP validi.
L'ispezione DAI controlla tutte le richieste di indirizzi ARP da MAC a IP sul sistema e conferma che sono legittime prima di aggiornare le loro informazioni sulla cache ARP e passarle ai canali corretti.
3. Segmenta la tua rete
Gli aggressori eseguono attacchi di avvelenamento ARP, soprattutto quando hanno accesso a tutte le aree di una rete. Segmentare la tua rete significa che i vari componenti saranno in aree diverse. Anche quando un intruso ottiene l'accesso a una parte, c'è un limite al controllo che può avere poiché alcuni elementi non sono presenti.
Puoi consolidare la tua sicurezza creando una tabella ARP statica per ogni segmento della tua rete. In questo modo, è più difficile per gli hacker irrompere in una singola area, figuriamoci in tutte le aree.
4. Cripta i tuoi dati
La crittografia potrebbe non avere un grande impatto nell'impedire agli hacker di infiltrarsi nella tua rete con attacchi di avvelenamento ARP, ma impedirà loro di modificare i tuoi dati se ne entrano in possesso. E questo perché la crittografia dei dati impedisce agli intrusi di leggerli senza la chiave di decrittazione valida.
Se gli aggressori di dati rubano da un attacco di avvelenamento ARP è inutile per loro a causa della crittografia, non possono dire che il loro attacco ha avuto successo.
Previeni gli attacchi ARP Poisoning con l'autenticazione
Gli attacchi di avvelenamento ARP prosperano quando non ci sono parametri per proteggere la connettività di rete dalle intrusioni. Quando crei una whitelist di reti e dispositivi da approvare, gli elementi che non sono presenti nell'elenco non supereranno il controllo di autenticazione e non potranno accedere al tuo sistema.
È meglio impedire agli attori delle minacce di entrare nel tuo sistema piuttosto che affrontarli quando sono già dentro. Possono causare gravi danni prima che tu possa contenerli.
