La técnica de poisoning o envenenamiento consiste en redireccionar el tráfico de usuarios lícitos a sitios usualmente controlados por un atacante. Esta técnica suele implementarse a partir de la manipulación de los protocolos ARP y DNS.
El ARP poisoning, también conocido como ARP spoofing, consiste en generar peticiones y respuestas ARP modificadas con el objetivo de asociar la dirección MAC del atacante con la dirección IP del gateway. De este modo, todo el tráfico de ese segmento pasará primero por el atacante, que podrá analizarlo y redirigirlo luego hacia el destino final. Un modo de protegerse frente al ARP spoofing es utilizando tablas ARP estáticas.
Si bien esto previene la implementación de esta técnica, puede tornar dificultosa y compleja la administración de entornos grandes. Un método alternativo se basa en usar aplicaciones para detección de cambios de las tablas ARP (arpwatch, por ejemplo) e implementar el uso de la seguridad de puerto que poseen algunos switches para evitar cambios en las direcciones MAC.
IMG1. Manual de la herramienta arpwatch, utilizada para detectar cambios en la asociación entre direcciones MAC e IP.
Adicionalmente, y tal como se mira una técnica de análisis de tráfico, la segmentación de las redes reduce la visibilidad del segmento que un atacante tiene al lanzar este ataque, con lo cual también es una buena medida complementaria.
IMG2. Ataque de ARP Spoofing a un Host.
IMG3. Identificación del ARP Spoofing a través de Wireshark.
Por otro lado, tal como hemos mencionamos, otro de los protocolos que, por sus particularidades, suele ser blanco de ataques de estas características es el DNS. La técnica de DNS cache poisoning consiste en hacer de manera maliciosa que un servidor DNS reciba datos de una fuente no autoritativa, de manera tal de contaminar su tabla caché.
Así, si un atacante puede controlar dicha tabla, podrá modificar la relación entre la dirección IP y la URL asociada, haciendo que cuando un cliente lícito quiera acceder a un sitio web, en realidad acceda a otro controlado por el atacante. Por ejemplo, supongamos que el sitio web al que deseamos acceder es www.facebook.com, y la dirección IP asociada es la 98.129.229.166. Mediante la modificación de su caché, podríamos hacer que, cuando un usuario acceda a www.facebook.com, en vez de dirigirse a la IP 98.129.229.166, termine accediendo a otra IP controlada por el atacante.
En esta nueva dirección IP, el atacante podría tener levantado un servidor web malicioso de similares características, que disfrace a través de herramientas de Ingeniería Social.
Este ataque puede deberse a fallas en la implementación de los sistemas, vulnerabilidades en la aplicación DNS, falta de configuración del servidor y escenarios perniciosamente diseñados que explotan la arquitectura de un DNS. Una vez que un servidor DNS ha recibido datos maliciosos y los almacena temporalmente para futuros incrementos de desempeño, es considerado envenenado, y extiende el efecto a los clientes del servidor.
El lector atento notará que, en este caso, el usuario poco puede hacer para protegerse de este ataque, ya que la vulnerabilidad siempre está en el servidor DNS.
Técnicas de Mitigación contra DNS Spoofing.
Supervisar y filtrar el tráfico DNS de forma exhaustiva.
Proteger los DNS agregando DNSSEC.
Parchar regularmente los servidores DNS.
Demostrar si el servidor de nombres autorizado coincide con lo que se responde localmente.
Usar VPN (una red privada virtual), especialmente si se van a enviar datos confidenciales.
Buscar señales de seguridad y autenticidad en los sitios web antes de escribir cualquier dato.
Evita abrir enlaces extraños.
Cifrado de extremo a extremo: este método cifra la solicitud de datos de DNS y mantiene alejados a los atacantes, ya que no es posible que dupliquen la licencia de seguridad única del sitio web.
Actualizaciones de DNS: para ayudar a protegerse contra los atacantes de DNS, las versiones actualizadas de DNS incluyen aleatorización de puertos e ID de transacciones criptográficamente seguras. Asegúrese de que el servidor que se utiliza esté siempre actualizado.
Técnicas de Mitigación contra ARP Spoofing.
- Confíe en las VPN (Redes Privadas Virtuales): Una forma de evitar que ocurra la suplantación de ARP en primer lugar es confiar en las redes privadas virtuales (VPN). Cuando se conecta a Internet, normalmente primero se conecta a un proveedor de servicios de Internet (ISP) para conectarse a otro sitio web. Sin embargo, cuando usa una VPN, está usando un túnel encriptado que bloquea en gran medida su actividad de los piratas informáticos que suplantan ARP. Tanto el método por el que realiza la actividad en línea como los datos que pasan por ella están encriptados.
- Usar un ARP estático: La creación de una entrada ARP estática en su servidor puede ayudar a reducir el riesgo de suplantación de identidad. Si tiene dos hosts que se comunican regularmente entre sí, la configuración de una entrada ARP estática crea una entrada permanente en su caché ARP que puede ayudar a agregar una capa de protección contra la suplantación de identidad.
- Obtenga una herramienta de detección: Incluso con el conocimiento y las técnicas de ARP implementados, no siempre es posible detectar un ataque de suplantación de identidad. Los piratas informáticos se vuelven cada vez más sigilosos para pasar desapercibidos y utilizan nuevas tecnologías y herramientas para adelantarse a sus víctimas. En lugar de centrarse estrictamente en la prevención, asegúrese de contar con un método de detección. El uso de una herramienta de detección de terceros puede ayudarlo a ver cuándo se está produciendo un ataque de suplantación de identidad para que pueda detenerlo en el momento.
- Evite las relaciones de confianza: Algunos sistemas se basan en relaciones de confianza de IP que se conectarán automáticamente a otros dispositivos para transmitir y compartir información. Sin embargo, debe evitar por completo confiar en las relaciones de confianza de IP en su empresa. Cuando sus dispositivos usan direcciones IP solo para verificar otra máquina o la identidad de un usuario, es fácil que un hacker se infiltre y falsifique su ARP. Otra solución es confiar en inicios de sesión y contraseñas privadas para identificar a los usuarios. Sea cual sea el sistema que elija para validar a sus usuarios, necesita políticas de protección establecidas en su organización. Esta sencilla técnica puede crear una capa adicional de protección y realizar un seguimiento de quién intenta acceder a sus sistemas.
- Configurar filtrado de paquetes: Algunos atacantes ARP enviarán paquetes ARP a través de la LAN que contienen la dirección MAC del atacante y la dirección IP de la víctima. Una vez que se han enviado los paquetes, un atacante puede comenzar a recibir datos o esperar y permanecer relativamente desapercibido mientras se prepara para lanzar un ataque de seguimiento. Y cuando un paquete malicioso se ha infiltrado en su sistema, puede ser difícil detener un ataque de seguimiento y asegurarse de que su sistema esté limpio. El filtrado y la inspección de paquetes pueden ayudar a detectar paquetes envenenados antes de que lleguen a su destino. Puede filtrar y bloquear paquetes maliciosos que muestren cualquier fuente de información conflictiva.
- Configuración de monitoreo de malware: Las herramientas antivirus y de malware que ya utilizan pueden ofrecer algún recurso contra la suplantación de identidad ARP. Mire su configuración de monitoreo de malware y busque categorías y selecciones que monitoreen el tráfico ARP sospechoso desde los puntos finales. También debe habilitar cualquier opción de prevención de suplantación de ARP y detener cualquier proceso de punto final que envíe tráfico ARP sospechoso.
