Postoji mnogo načina za pristup sustavu. ARP trovanje cilja na način na koji naši uređaji međusobno komuniciraju.
Imati jedinstvenu kibersigurnosnu obranu ne jamči potpunu sigurnost jer hakeri nastavljaju smišljati nove načine za proboj. Oni razumiju da pokretanje izravnih napada više nije tako učinkovito budući da ih napredni sigurnosni mehanizmi mogu lako otkriti. Skrivanje iza legitimnih mreža putem tehnika kao što su napadi trovanjem ARP-a olakšava im posao.
Uz trovanje ARP-om, kibernetički kriminalac može preusmjeriti vašu IP adresu i presresti vašu komunikaciju u prijenosu bez vašeg znanja. Evo kako ova metoda napada funkcionira i kako je možete spriječiti.
Što je napad trovanjem ARP-om?
Address Resolution Protocol (ARP) je postupak povezivanja koji povezuje internetski protokol (IP) adresa na statičku fizičku adresu kontrole pristupa medijima (MAC) preko lokalne mreže (LAN). Budući da su IP i MAC adrese različitog sastava, nisu kompatibilne. ARP usklađuje ovu razliku kako bi osigurao da su oba elementa sinkronizirana. Inače se ne bi prepoznali.
Napad trovanja ARP-om je proces u kojem uljez šalje zlonamjerni sadržaj putem lokalne mreže (LAN) kako bi preusmjerio vezu legitimne IP adrese na svoju MAC adresu. Tijekom toga, napadač zamjenjuje izvornu MAC adresu koja bi se trebala povezati s IP adresom, dopuštajući im pristup porukama koje ljudi šalju na autentičnu MAC adresu.
Kako funkcionira napad trovanjem ARP-om?
Nekoliko mreža može raditi na lokalnoj mreži (LAN) u isto vrijeme. Svaka aktivna mreža dobiva određenu IP adresu koja joj služi kao sredstvo identifikacije i razlikuje je od ostalih. Kada podaci iz različitih mreža dođu do pristupnika, ARP ih razvrstava u skladu s tim, tako da svaki ide ravno na svoje odredište.
Napadač kreira i šalje lažnu ARP poruku profiliranom sustavu. U poruku dodaju svoju MAC adresu i ciljnu IP adresu. Po primitku i obradi lažne ARP poruke, sustav sinkronizira MAC adresu napadača s IP adresom.
Nakon što LAN poveže IP adresu s MAC adresom uljeza, uljez počinje primati sve poruke namijenjene legitimnoj MAC adresi. Oni mogu prisluškivati komunikaciju kako bi dohvatili osjetljive podatke u razmjeni, modificirati komunikaciju putem umetanje zlonamjernog sadržaja kako bi pomogli njihovoj namjeri ili čak brisanje podataka u prijenosu, tako da primatelj ne dobije to.
Vrste napada trovanjem ARP-om
Kibernetički kriminalci mogu pokrenuti ARP napade na dva načina: prijevarom i trovanjem predmemorije.
ARP lažiranje
ARP spoofing je proces u kojem akter prijetnje krivotvori i šalje ARP odgovor sustavu koji cilja. Jedan krivotvoreni odgovor je sve što uljez mora poslati da dotični sustav doda svoju MAC adresu na popis dopuštenih. To čini lažiranje ARP-a jednostavnim za izvođenje.
Napadači također koriste ARP spoofing za izvođenje drugih vrsta napada kao što je otimanje sesije gdje su preuzeti vaše sesije pregledavanja a Man-in-the-Middle napada gdje oni presretanje komunikacije između dva uređaja spojen na mrežu.
Trovanje ARP predmemorije
Trovanje u ovoj vrsti ARP napada proizlazi iz toga što napadač stvara i šalje više krivotvorenih ARP odgovora svom ciljnom sustavu. To čine do točke u kojoj je sustav pretrpan nevažećim unosima i ne može identificirati svoje legitimne mreže.
Kibernetički kriminalci koji stvaraju prometnu gužvu iskoristit će priliku da preusmjere IP adrese na vlastite sustave i presretnu komunikaciju koja prolazi kroz njih. Akteri prijetnji koriste ovu metodu ARP napada kako bi olakšali druge oblike napada poput uskraćivanja usluge (DoS) gdje zasipaju ciljni sustav nebitnim porukama kako bi izazvali zastoj u prometu i zatim preusmjeravaju IP adrese.
Kako možete spriječiti napad trovanjem ARP-om?
Napadi trovanja ARP-om imaju negativan utjecaj na vaš sustav, kao što je gubitak kritičnih podataka, pad u vašoj reputaciji zbog izlaganja vaših osjetljivih podataka, pa čak i zastoja ako napadač dirao elemente koji pokreću vaš mreža.
Ako ne želite trpjeti bilo koju od gore navedenih implikacija, evo načina kako spriječiti napade trovanja ARP-om.
1. Stvorite statičke ARP tablice
ARP tehnologija ne može automatski potvrditi legitimne IP adrese s njihovim MAC adresama. To kibernetičkim kriminalcima daje priliku krivotvoriti ARP odgovore. Ovu rupu možete popraviti stvaranjem statičke ARP tablice u kojoj preslikavate sve autentične MAC adrese na vašoj mreži na njihove legitimne IP adrese. Obje komponente povezivat će se samo s odgovarajućim adresama i obraditi ih, uklanjajući mogućnost napadačima da povežu svoje MAC adrese s mrežom.
Izrada ARP statičkih tablica uključuje puno ručnog rada što oduzima puno vremena. Ali ako se potrudite, spriječit ćete nekoliko napada trovanja ARP-om.
2. Implementacija dinamičke ARP inspekcije (DAI)
Dynamic ARP Inspection (DAI) mrežni je sigurnosni sustav koji provjerava ARP komponente prisutne na mreži. Identificira veze s nelegitimnim MAC adresama koje pokušavaju preusmjeriti ili presresti važeće IP adrese.
DAI inspekcija provjerava sve zahtjeve ARP MAC-to-IP adrese na sustavu i potvrđuje da su legitimni prije ažuriranja njihovih informacija u ARP predmemorij i prosljeđivanja na prave kanale.
3. Segmentirajte svoju mrežu
Napadači izvode napade trovanja ARP-a, osobito kada imaju pristup svim područjima mreže. Segmentiranje vaše mreže znači da će različite komponente biti u različitim područjima. Čak i kada uljez dobije pristup jednom dijelu, postoji ograničenje kontrole koju može imati jer neki elementi nisu prisutni.
Možete učvrstiti svoju sigurnost stvaranjem statičke ARP tablice za svaki segment vaše mreže. Na taj je način hakerima teže provaliti u jedno područje, a kamoli u sva područja.
4. Šifrirajte svoje podatke
Enkripcija možda neće imati veliki utjecaj na zaustavljanje hakera da se infiltriraju u vašu mrežu s napadima trovanja ARP-om, ali će ih spriječiti da mijenjaju vaše podatke ako ih se dočepaju. A to je zato što šifriranje podataka sprječava uljeze da ih pročitaju bez važećeg ključa za dešifriranje.
Ako su napadači koji kradu podatke iz napada trovanjem ARP-a za njih beskorisni zbog enkripcije, ne mogu reći da je njihov napad bio uspješan.
Spriječite napade trovanja ARP-om autentifikacijom
Napadi trovanja ARP-om napreduju kada nema parametara koji bi osigurali vašu mrežnu povezanost od upada. Kada stvorite popis dopuštenih mreža i uređaja koje treba odobriti, stavke koje nisu na popisu neće proći provjeru autentičnosti i neće moći ući u vaš sustav.
Bolje je spriječiti aktere prijetnji da uđu u vaš sustav nego se baviti njima kada su već unutra. Mogu izazvati ozbiljnu štetu prije nego što ih uspijete obuzdati.
