Existuje mnoho způsobů, jak získat přístup k systému. Otrava ARP se zaměřuje na způsob, jakým naše zařízení spolu komunikují.
Jednotná kybernetická ochrana nezaručuje úplnou bezpečnost, protože hackeři stále vymýšlejí nové způsoby, jak prorazit. Chápou, že spouštění přímých útoků již není tak efektivní, protože pokročilé bezpečnostní mechanismy je dokážou snadno detekovat. Skrytí za legitimní sítě pomocí technik, jako jsou útoky otravy ARP, jim usnadňuje práci.
S otravou ARP může kyberzločinec přesměrovat vaši IP adresu a zachytit vaši komunikaci během přenosu bez vašeho vědomí. Zde je návod, jak tento způsob útoku funguje a jak mu můžete zabránit.
Co je útok otravy ARP?
Address Resolution Protocol (ARP) je postup připojení, který spojuje internetový protokol (IP) adresu na statickou fyzickou adresu Media Access Control (MAC) přes místní síť (LAN). Vzhledem k tomu, že adresy IP a MAC mají různé složení, nejsou kompatibilní. ARP uvádí tento rozdíl do souladu, aby zajistila, že oba prvky budou synchronizované. Jinak by se nepoznali.
Útok otravy ARP je proces, při kterém narušitel odesílá škodlivý obsah prostřednictvím místní sítě (LAN), aby přesměroval připojení legitimní IP adresy na jeho MAC adresu. V průběhu toho útočník přemístí původní MAC adresu, která se má k IP adrese připojit, a umožní mu tak přístup ke zprávám, které lidé posílají na autentickou MAC adresu.
Jak funguje útok otravy ARP?
V místní síti (LAN) může současně fungovat několik sítí. Každá aktivní síť získává určitou IP adresu, která slouží jako její identifikační prostředek a odlišuje ji od ostatních. Když se data z různých sítí dostanou do brány, ARP je podle toho seřadí, takže každá jde přímo na zamýšlené místo určení.
Útočník vytvoří a odešle falešnou zprávu ARP do profilovaného systému. Do zprávy přidají svou MAC adresu a IP adresu cíle. Po přijetí a zpracování falešné zprávy ARP systém synchronizuje MAC adresu útočníka s IP adresou.
Jakmile LAN propojí IP adresu s MAC adresou narušitele, narušitel začne dostávat všechny zprávy určené pro legitimní MAC adresu. Mohou odposlouchávat komunikaci, získávat citlivá data výměnou, modifikovat komunikaci vkládání škodlivého obsahu na podporu jejich záměru nebo dokonce smazání dat při přenosu, aby je příjemce nedostal to.
Typy útoků otravy ARP
Kyberzločinci mohou provádět ARP útoky dvěma způsoby: Spoofing a Cache poisoning.
Spoofing ARP
ARP spoofing je proces, kdy aktér ohrožení falšuje a posílá ARP odpověď do systému, na který se zaměřuje. Jedna zfalšovaná odpověď je vše, co musí narušitel poslat dotyčnému systému, aby přidal svou MAC adresu na bílou listinu. To usnadňuje provádění spoofingu ARP.
Útočníci také používají spoofing ARP k provádění jiných druhů útoků, jako je únos relace tam, kde jsou převzít vaše relace prohlížení a Man-in-the-Middle útočí tam, kde oni zachytit komunikaci mezi dvěma zařízeními připojený k síti.
Otrava ARP cache
Otrava v tomto druhu ARP útoku pochází z toho, že útočník vytvoří a odešle více podvržených ARP odpovědí do jejich cílového systému. Dělají to do bodu, kdy je systém zahlcen neplatnými záznamy a nemůže identifikovat své legitimní sítě.
Kyberzločinecké inženýrství dopravní vřavy využije příležitosti k přesměrování IP adres na jejich vlastní systémy a zachycení komunikace, která jimi prochází. Aktéři hrozeb používají tuto metodu útoku ARP k usnadnění jiných forem útoků, jako je Denial of Service (DoS) kde zaplaví cílový systém irelevantními zprávami, aby způsobily dopravní zácpu a pak přesměrovaly IP adresy.
Jak můžete zabránit útoku otravy ARP?
Útoky otravy ARP mají negativní dopady na váš systém, jako je ztráta důležitých dat a poškození vaší reputace kvůli vystavení vašich citlivých dat a dokonce i prostojům, pokud by útočník manipuloval s prvky, které řídí vaše síť.
Pokud nechcete trpět žádným z výše uvedených důsledků, zde jsou způsoby, jak zabránit útokům otravy ARP.
1. Vytvářejte statické tabulky ARP
Technologie ARP nemůže automaticky ověřit legitimní IP adresy pomocí jejich MAC adres. Kyberzločinci tak mají příležitost padělat odpovědi ARP. Tuto mezeru můžete opravit vytvořením statické tabulky ARP, kde mapujete všechny autentické adresy MAC ve vaší síti na jejich legitimní adresy IP. Obě součásti se připojí pouze ke svým odpovídajícím adresám a zpracují je, čímž se útočníkům zbaví možnosti připojit jejich MAC adresy k síti.
Vytváření statických tabulek ARP vyžaduje mnoho ruční práce, která je časově náročná. Ale pokud si dáte tu práci, předejdete několika útokům otravy ARP.
2. Implementace dynamické kontroly ARP (DAI)
Dynamic ARP Inspection (DAI) je systém zabezpečení sítě, který ověřuje komponenty ARP přítomné v síti. Identifikuje připojení s nelegitimními MAC adresami, které se snaží přesměrovat nebo zachytit platné IP adresy.
Inspekce DAI kontroluje všechny požadavky na adresu ARP MAC-to-IP v systému a potvrzuje, že jsou legitimní, než aktualizuje jejich informace v mezipaměti ARP a předá je správným kanálům.
3. Segmentujte svou síť
Útočníci provádějí ARP otravné útoky, zvláště když mají přístup do všech oblastí sítě. Segmentace vaší sítě znamená, že různé komponenty budou v různých oblastech. I když vetřelec získá přístup k jedné části, existuje omezení kontroly, kterou může mít, protože některé prvky nejsou přítomny.
Své zabezpečení můžete upevnit vytvořením statické tabulky ARP pro každý segment vaší sítě. Tímto způsobem je pro hackery obtížnější proniknout do jedné oblasti, natož do všech oblastí.
4. Šifrujte svá data
Šifrování nemusí mít velký dopad na to, aby zabránila hackerům v infiltraci vaší sítě pomocí ARP otravných útoků, ale zabrání jim v úpravě vašich dat, pokud se jich zmocní. A to proto šifrování dat zabraňuje narušitelům v jejich čtení bez platného dešifrovacího klíče.
Pokud jsou data, která útočníci ukradli z útoku otravy ARP, pro ně k ničemu kvůli šifrování, nemohou říci, že jejich útok byl úspěšný.
Zabraňte útokům otravy ARP pomocí ověřování
Útoky otravy ARP se daří, když neexistují žádné parametry pro zabezpečení připojení k síti před narušením. Když vytvoříte seznam povolených sítí a zařízení ke schválení, položky, které na seznamu nejsou, projdou kontrolou ověření a nebudou moci vstoupit do vašeho systému.
Je lepší zabránit aktérům hrozeb ve vstupu do vašeho systému, než se s nimi vypořádat, když už jsou uvnitř. Než je stihnete zadržet, mohou způsobit vážné poškození.