Análisis, diseño e implementación de un sistema para evitar ataques al protocolo ARP en redes de área local

Abstract

En este trabajo se presenta la propuesta de un nuevo mecanismo para evitar ataques al protocolo ARP en redes de área local. El documento está dividido en 7 capítulos que comprenden la identificación del problema, la fase de análisis, diseño, implementación y los resultados obtenidos al probar nuestro sistema contra distintos ataques en una red de área local conformada por cuatro computadoras. En el Capítulo 1 se describe el protocolo ARP y su funcionalidad. Además se identifica el problema al cual es susceptible y se plantean los objetivos del presente trabajo. También se explica el funcionamiento del protocolo que sustituye a ARP en IPv6. En el Capítulo 2 se realiza una breve descripción acerca de las técnicas existentes de detección, mitigación y prevención contra los ataques de envenenamiento a la caché ARP, y se profundiza más acerca del mismo; se describen los métodos de envenenamiento y se detallan las características que hacen del protocolo, un protocolo inseguro. Para que una solución ante los ataques contra el protocolo ARP sea la adecuada, debe cumplir con un conjunto de requisitos, los cuales se detallan en el Capítulo 3, además se lista lo necesario para que nuestra solución pueda llevarse a cabo. Se detallan las razones por las cuales trabajamos con el hardware y firmware del ruteador y el software de nuestro servidor. En el Capítulo 4 se explica todo lo referente al diseño de nuestra solución. Se describen los dos programas fundamentales que ejecuta el servidor para mantener su caché ARP actualizada y para responder las consultas ARP que realizan las computadoras de la red local. Se dan a conocer conceptos básicos sobre el protocolo DHCP, pues a través de estos mensajes se modifica la caché ARP del servidor. Además se presentan las reglas de ebtables del ruteador, configuradas para bloquear las respuestas ARP y cambiar el destino de las consultas ARP. Una descripción detallada de los pasos seguidos para la ejecución de los programas que corren en el servidor y lo realizado en el ruteador para la ejecución de las reglas de ebtables, se muestra en el Capítulo 5. También se detalla lo realizado para la creación e instalación en el ruteador del paquete que reenvía los mensajes DHCP hacia el servidor. En el Capítulo 6 se realiza una descripción de los escenarios de ataque con las pruebas de funcionamiento a los que nuestro esquema fue expuesto. Se detallan los resultados obtenidos al probar nuestra solución en los distintos escenarios de ataque ARP y además se muestran gráficos comparativos entre el rendimiento del ruteador con las configuraciones realizadas y sin éstas. También se explica el trabajo que se debería realizar para que la solución funcione en redes más grandes. Finalmente se detallan las conclusiones del trabajo de investigación así como también las recomendaciones para la exitosa ejecución de nuestro sistema.