Hacia un mejor entendimiento de los ataques al protocolo arp, a través de la identificación de árboles de ataque en una red cerrada

Abstract

ARP (Address Resolution Protocol), protocolo utilizado en redes Ethernet, sirve para obtener la dirección física de un computador (MAC Address) de la red preguntando a toda la red mediante un mensaje broadcast por el propietario de la dirección IP. Quien tiene esa dirección IP responde directamente a quien hizo la solicitud. El protocolo ARP es un protocolo sin estado, y no tiene información de cuáles fueron las solicitudes realizadas, ni las respuestas anteriores. Cada respuesta nueva sobreescribe a la anterior en la tabla cache ARP. El funcionamiento estándar de ARP está documentado en el RFC 806, pero pequeños detalles de implementación del protocolo dependen del sistema operativo, los cuales pueden agregar algunos mecanismos sencillos de seguridad. El problema de los ataques a este protocolo radican en que la respuesta no puede ser autenticada y por lo tanto, alguien más que no sea el autentico dueño de esa IP puede enviar una respuesta falsa y hacerse pasar por otra computadora. Para una mayor eficiencia, la asociación IP-MAC recibida en la respuesta ARP se almacena por un cierto tiempo en la tabla cache ARP. En el caso de darse un ataque como el descrito, se dice que la tabla cache del host fue “envenenada”. De esta manera quien hace la solicitud inicial no se comunicara con el computador correcto si no con el falso y le enviará la información que era para el destinatario original. Un agravante de este problema es que no es necesario ser un hacker experto para montar este tipo de ataques, ya que hay herramientas que uno puede bajarse de Internet para realizarlos. El problema del envenenamiento ARP es un problema grave, que compromete la confidencialidad de los datos enviados en nuestras redes de área local (y desde ahí, hacia Internet), y que hasta el momento no tiene una solución ideal. Uno de los motivos por los que todavía no hay disponible una solución eficiente y económica al problema es que lamentablemente no existen estudios detallados y exhaustivos del problema. Mucha de la información para realizar los ataques ARP se encuentran en sitios Web de piratas, los cuales no son nada técnicos ni muy explicativos. Además, dicha información está incompleta y se encuentra disponible de manera desorganizada. Lastimosamente no existen estudios donde se examinen todas las combinaciones para realizar los envenenamientos ARP. Estos estudios ayudarían a detectar este tipo de fallas en las redes o para validar la eficiencia de alguna solución. Dada la importancia del problema descrito, y de la necesidad imperativa de estudios académicos en el área, un equipo de investigación de la FIEC, con fondos del programa VLIR-ESPOL (Componente 8) está estudiando en paralelo el problema y su solución [1, 2]. En este trabajo presentamos un primer paso hacia un estudio académico, detallado y exhaustivo de las diferentes maneras que se pueden montar ataques al protocolo ARP. Este estudio servirá como base para trabajos posteriores, como: (1) evaluación de los mecanismos de seguridad existentes que pretenden bloquear (ciertos tipos de) ataques ARP, (2) diseño de nuevos esquemas de seguridad para ARP, (3) dejar sentadas las bases para futuros estudios del protocolo Neighbor Discovery (ND), el cual reemplazará a ARP en las redes IPv6.