Existuje mnoho spôsobov, ako získať prístup do systému. Otrava ARP sa zameriava na spôsob, akým naše zariadenia navzájom komunikujú.
Jednotná ochrana kybernetickej bezpečnosti nezaručuje úplnú bezpečnosť, pretože hackeri naďalej vymýšľajú nové spôsoby, ako preraziť. Chápu, že priame útoky už nie sú také efektívne, pretože pokročilé bezpečnostné mechanizmy ich dokážu ľahko odhaliť. Skrytie za legitímne siete pomocou techník, ako sú útoky otravy ARP, im uľahčuje prácu.
S otravou ARP môže kyberzločinec presmerovať vašu IP adresu a zachytiť vašu komunikáciu počas prenosu bez vášho vedomia. Tu je návod, ako tento spôsob útoku funguje a ako mu môžete zabrániť.
Čo je útok otravy ARP?
Address Resolution Protocol (ARP) je postup pripojenia, ktorý spája internetový protokol (IP) adresu na statickú fyzickú adresu Media Access Control (MAC) cez lokálnu sieť (LAN). Keďže adresy IP a MAC majú rôzne zloženie, nie sú kompatibilné. ARP vyrovnáva tento rozdiel, aby sa zabezpečila synchronizácia oboch prvkov. Inak by sa nespoznali.
Útok otravy ARP je proces, pri ktorom narušiteľ posiela škodlivý obsah cez lokálnu sieť (LAN), aby presmeroval pripojenie legitímnej IP adresy na jeho MAC adresu. V priebehu toho útočník premiestni pôvodnú MAC adresu, ktorá by sa mala pripojiť k IP adrese, čím mu umožní prístup k správam, ktoré ľudia posielajú na autentickú MAC adresu.
Ako funguje útok otravy ARP?
V lokálnej sieti (LAN) môže súčasne fungovať niekoľko sietí. Každá aktívna sieť dostane konkrétnu IP adresu, ktorá slúži ako jej prostriedok identifikácie a odlišuje ju od ostatných. Keď sa dáta z rôznych sietí dostanú k bráne, ARP ich podľa toho zoradí, takže každá ide priamo na zamýšľané miesto určenia.
Útočník vytvorí a odošle falošnú správu ARP do profilovaného systému. Do správy pridajú svoju MAC adresu a IP adresu cieľa. Po prijatí a spracovaní falošnej ARP správy systém synchronizuje MAC adresu útočníka s IP adresou.
Keď LAN prepojí IP adresu s MAC adresou útočníka, narušiteľ začne dostávať všetky správy určené pre legitímnu MAC adresu. Môžu odpočúvať komunikáciu, získať citlivé údaje výmenou, modifikovať komunikáciu vkladanie škodlivého obsahu na podporu ich zámeru alebo dokonca vymazanie údajov počas prenosu, aby ich príjemca nedostal to.
Typy útokov otravy ARP
Kyberzločinci môžu spustiť ARP útoky dvoma spôsobmi: Spoofing a Cache poisoning.
Spoofing ARP
Spoofing ARP je proces, pri ktorom aktér hrozby sfalšuje a odošle odpoveď ARP systému, na ktorý sa zameriava. Jedna falošná odpoveď je všetko, čo musí narušiteľ poslať príslušnému systému, aby pridal svoju MAC adresu do zoznamu povolených. Vďaka tomu sa spoofing ARP jednoducho vykonáva.
Útočníci tiež používajú spoofing ARP na vykonávanie iných druhov útokov, ako je napríklad únos relácie prevziať vaše relácie prehliadania a Man-in-the-Middle útočí tam, kde oni zachytiť komunikáciu medzi dvoma zariadeniami pripojený k sieti.
Otrava vyrovnávacej pamäte ARP
Otrava pri tomto druhu ARP útoku pochádza z toho, že útočník vytvorí a odošle viacero falošných ARP odpovedí do ich cieľového systému. Robia to do bodu, keď je systém zahltený neplatnými položkami a nedokáže identifikovať svoje legitímne siete.
Kyberzločinecké inžinierstvo a dopravný ruch využije príležitosť presmerovať IP adresy do svojich vlastných systémov a zachytiť komunikáciu, ktorá cez ne prechádza. Aktéri hrozieb používajú túto metódu útoku ARP na uľahčenie iných foriem útokov, ako je Denial of Service (DoS) kde zahltia cieľový systém irelevantnými správami, aby spôsobili dopravnú zápchu a následne presmerovali IP adresy.
Ako môžete zabrániť útoku otravy ARP?
Útoky otravy ARP majú negatívny vplyv na váš systém, ako je strata kritických údajov a poškodenie vašej reputácie z dôvodu vystavenia vašich citlivých údajov a dokonca aj prestojov, ak by útočník manipuloval s prvkami, ktoré riadia vaše siete.
Ak nechcete trpieť žiadnym z vyššie uvedených dôsledkov, tu sú spôsoby, ako zabrániť útokom otravy ARP.
1. Vytvorte statické tabuľky ARP
Technológia ARP nedokáže automaticky overiť legitímne IP adresy pomocou ich MAC adries. To využíva počítačovým zločincom príležitosť falšovať odpovede ARP. Túto medzeru môžete opraviť vytvorením statickej tabuľky ARP, kde mapujete všetky autentické adresy MAC vo vašej sieti na ich legitímne adresy IP. Obidve komponenty sa pripájajú a spracúvajú iba ich zodpovedajúce adresy, čím sa útočníkom odstráni možnosť pripojiť svoje MAC adresy k sieti.
Vytváranie statických tabuliek ARP si vyžaduje veľa ručnej práce, ktorá je časovo náročná. Ale ak si dáte prácu, zabránite niekoľkým útokom otravy ARP.
2. Implementácia dynamickej kontroly ARP (DAI)
Dynamická kontrola ARP (DAI) je systém zabezpečenia siete, ktorý overuje komponenty ARP prítomné v sieti. Identifikuje spojenia s nelegitímnymi MAC adresami, ktoré sa pokúšajú presmerovať alebo zachytiť platné IP adresy.
Inšpekcia DAI skontroluje všetky požiadavky na adresu ARP MAC-to-IP v systéme a potvrdí, že sú legitímne pred aktualizáciou ich informácií vo vyrovnávacej pamäti ARP a ich odovzdaním správnym kanálom.
3. Segmentujte svoju sieť
Útočníci vykonávajú ARP otravné útoky, najmä ak majú prístup do všetkých oblastí siete. Segmentácia vašej siete znamená, že rôzne komponenty budú v rôznych oblastiach. Dokonca aj keď votrelec získa prístup k jednej časti, existuje obmedzenie kontroly, ktorú môže mať, pretože niektoré prvky nie sú prítomné.
Svoju bezpečnosť môžete posilniť vytvorením statickej tabuľky ARP pre každý segment vašej siete. Týmto spôsobom je pre hackerov ťažšie preniknúť do jednej oblasti, nieto do všetkých oblastí.
4. Zašifrujte svoje údaje
Šifrovanie nemusí mať veľký vplyv na zabránenie hackerom v infiltrácii vašej siete pomocou ARP otravných útokov, ale zabráni im v úprave vašich údajov, ak sa ich zmocnia. A to preto šifrovanie údajov zabraňuje votrelcom v ich čítaní bez platného dešifrovacieho kľúča.
Ak sú útočníci, ktorí ukradli údaje z útoku otravy ARP, pre nich zbytoční kvôli šifrovaniu, nemôžu povedať, že ich útok bol úspešný.
Zabráňte útokom otravy ARP pomocou autentifikácie
Útoky otravy ARP prosperujú, keď neexistujú žiadne parametre na zabezpečenie sieťového pripojenia pred narušením. Keď vytvoríte bielu listinu sietí a zariadení na schválenie, položky, ktoré nie sú v zozname, neprejdú kontrolou overenia a nebudú môcť vstúpiť do vášho systému.
Je lepšie zabrániť aktérom hrozieb vstúpiť do vášho systému, ako sa s nimi vysporiadať, keď už sú v ňom. Môžu spôsobiť vážne poškodenie skôr, ako ich stihnete zadržať.