top of page

Zabezpečenie pred útokom ARP Spoofing

 

 

Podstata útoku:

Podstatou útoku ARP spoofing je to aby sa útočník stal prostredným členom v sieťovej komunikácií medzi dvoma systémami. Potom čo sa útočník stane prostredným členom v sieťovej komunikácií, tak je schopný odpočúvať prípadne meniť dáta preposielané medzi týmito dvoma zariadeniami. Útočník môže získať citlivé údaje ako napríklad meno, heslo..., ktoré môže zneužiť.

Popis útoku:

Útok ARP Spoofing je taktiež označovaný aj ako ARP cache poisoning. Využíva slabiny protokolu Address Resolution Protocol (ARP), ktorý bol navrhnutý v časoch kedy bezpečnosť nebola prioritou. Protokol ARP neposkytuje žiadny druh zabezpečenia. Tento útok patrí do kategórie Man in the middle (MITM). Útok ARP Spoofing je možné previezť iba v prípade, keď sa útočník nachádza v rovnakej broadcastovej doméne ako obeť, pretože ARP pakety sa za broadcastovú doménu nedostanú.

 

Protokol ARP:

Pre správne pochopenie útoku je potrebné najprv rozumieť ako funguje protokol ARP. 

 

 

 

 

Zabezpečenie pred útokom:

Na počítači:

  • ​pomocou personálneho firewallu - okrem detekcie dokáže útoku aj zabrániť, zablokovaním falošných ARP paketov, no nie vždy.

  • použitie statických ARP záznamov - útokom ARP spoofing sa nezmenia staticky zadané ARP záznamy, no po vypnutí počítača sa statické záznamy stratia. No v prípade že vytvoríme dávkový súbor, kde sa budú nachádzať vopred definované statické záznamy a spustíme ho vždy po spustení počítača, tak sa počítač stane odolný voči tomuto typu útoku.

  • použitie aplikácie, ktoré zvládajú okrem detekcie aj čiastočnú ochranu - riešenie pre malé siete

 

​Na smerovači:

  • nastavenie pevného prepojenia IP adresy s MAC adresov v ARP cache - nepodporujú to všetky bežne dostupné smerovače

 

​Na prepínači:

  • prepínače, ktoré pracujú na tretej vrstve OSI modelu podporujú inšpekciu ARP paketov - najkvalitnejšia ochrana

  • niektoré CISCO prepínače obsahujú nástroj Dynamic ARP Inspection - DAI, je to bezpečnostná funkcia, ktorá vyžaduje, aby sa na prepínači využíval DHCP Snooping a vytvárala sa DHCP snooping binding databáza, ktorá definuje priradenie MAC a IP adries, alebo aby sa použil ARP access list, kde sa prepojenie MAC a IP adresy zadáva manuálne.

 

Detekcia útoku:

​Na prepínači:

  • Detekciu na prepínači umožňujú väčšinou iba manažovateľné typy, ktoré sú drahšie než klasické prepínače

  • u Cisco prepínačov sa dá celkom jednoducho odhaliť útok z ARP tabuľky, kde je prepojená MAC adresa, IP adresa a port.

​Na počítači:

  • takmer každý personálny firewall dokáže filtrovať ARP pakety a spravovať tento protokol.

  • V prípade že počítač prijme paket ARP Reply, ktorý nebol inicializovaný tak sa s najväčšou pravdepodobnosťou jedná o útok ARP spoofing. Firewall zvyčajne tento paket zahodí.

© 2015 Vytvoril Ján Ivák

bottom of page