Segurança em redes locais II: Protegendo-se contra ARP Cache Poisoning, MITM attacks usando DAI

Na primeira parte deste artigo falamos sobre MAC Spoofing. Entretanto um hacker dentro duma rede local pode ser mais engenhoso, sabendo que ataques de Spoofing dependem muito da não alteração da tabela CAM do comutador. Numa rede que já esteja em funcionamento por algum instante o atacante pode envenenar (Poisoning) a tabela ARP dum host de determinado usuario com o objectivo de alterar a frame de saida quando o mesmo necessitar de enviar uma mensagem:

Na figura acima o atacante C pretende que as mensagens de B a A passem primeiro por ele (Man In The Middle). Para garantir que tal aconteça ele envia um pacote GARP forjado ao usuário B alterando a sua tabela ARP de modo a ter o endereço IP de A (10.1.1.1) associado ao endereço MAC de C, CCCC:CCCC:CCCC.

Em redes Cisco estes ataques podem ser evitados utilizando-se Dynamic ARP Inspection (DAI). O DAI trabalha com o conceito de portas confiáveis (trusted) e não confiáveis (untrusted) nos comutadores. As respostas ARP são apenas admitidas em portas confiáveis. Por default o comutador trata  todas as portas como não confiáveis, sendo necessária a sua configuração. Quando uma determinado frame entra numa porta não confiável o seu conteúdo ira ser comparado com a bind table (tabela de ligações) do serviço DHCP na rede. Se existir uma correspondência com os dados ARP entrantes e o conteúdo da bind table então a frame será aceite, caso contrario será descartada.

Habilita-se o DAI numa ou mais VLAN(s) de interesse e depois por interface:

COMUTADOR(config)>ip arp inspection vlan 10
COMUTADOR(config)>int range fa0/1-2
COMUTADOR(fa0/1-2)>ip arp inspection trust

Um pensamento sobre “Segurança em redes locais II: Protegendo-se contra ARP Cache Poisoning, MITM attacks usando DAI

  1. Pingback: Segurança em redes locais III:Criando Time Based ACLs « Nataniel. Notes about IT in Angola

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s