“anÁlisis, diseÑo e implementaciÓn de un sistema para evitar ataques al protocolo arp en redes...
TRANSCRIPT
![Page 1: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/1.jpg)
“ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA
PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE
ÁREA LOCAL”
Andre Ortega A.
Xavier Marcos R.
![Page 2: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/2.jpg)
AGENDA
Funcionamiento del protocolo ARP El problema: Envenenamiento a la caché ARP Objetivos Solución: Análisis y Diseño Solución: Implementación Demostración Pruebas y Resultados Conclusiones
![Page 3: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/3.jpg)
FUNCIONAMIENTO DEL PROTOCOLO ARP
![Page 4: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/4.jpg)
Alice Bob
IP addr Mac addrIP addr Mac addr
192.168.1.20 00:44:33:08:A3:C0
IP addr Mac addr
192.168.1.10 192.168.1.20
IP addr Mac addr
192.168.1.10 17:44:07:BB:24:C5
IP addr Mac addr
Carol
IP addr Mac addr
192.168.1.10 17:44:07:BB:24:C5
17:44:07:BB:24:C5 00:44:33:08:A3:C0
Alice se comunica con Bob
éxitosamente
ARP (Address Resolution Protocol)
![Page 5: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/5.jpg)
EL PROBLEMA: ENVENENAMIENTO A LA CACHÉ ARP
![Page 6: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/6.jpg)
6
El problema
![Page 7: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/7.jpg)
OBJETIVOS
![Page 8: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/8.jpg)
Objetivos
Presentar un nuevo esquema para asegurar ARP, de manera que:
• No implique cambios en cada host.
• Evite uso de técnicas criptográficas.
• Sea ampliamente disponible.
• Sea fácil de implementar.
• No se requiera de hardware costoso.
• Se combatan todos los tipos de ataques ARP.
![Page 9: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/9.jpg)
SOLUCIÓN: ANÁLISIS Y DISEÑO
![Page 10: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/10.jpg)
Análisis y Diseño
La solución la integran 2 elementos:
• Switch.
• Servidor.
![Page 11: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/11.jpg)
Diseño Inicial
![Page 12: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/12.jpg)
Diseño final
![Page 13: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/13.jpg)
SOLUCIÓN: IMPLEMENTACIÓN
![Page 14: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/14.jpg)
Servidor
Actualización de su caché ARP a través de mensajes DHCP:
update_arp_cache
Responde consultas ARP:
send_arp_reply
Impide actualización de su caché ARP a través de consultas ARP:
arptables -A INPUT --opcode 1 -j DROP
![Page 15: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/15.jpg)
Switch
Bloqueo de respuestas ARP excepto las del servidor:
ebtables -A FORWARD -p ARP --arp-opcode 2 -i !
INTERFASE_SERVIDOR -j DROP
Redirección de consultas ARP tanto broadcast como unicast hacia el servidor:
![Page 16: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/16.jpg)
Switch
ebtables -t nat -A PREROUTING -p ARP --arp-opcode 1 -s ! MAC_SERVIDOR -d ff:ff:ff:ff:ff:ff -j dnat --to-destination MAC_SERVIDOR
ebtables -t nat -A PREROUTING -p ARP --arp-opcode 1 -s ! MAC_SERVIDOR -d ! ff:ff:ff:ff:ff:ff -j dnat --to-destination MAC_SERVIDOR
![Page 17: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/17.jpg)
Switch
Reenvío de tramas DHCP hacia el servidor:
iptables -t mangle -A INPUT -s IP_RED_LOCAL -j MARK --set-mark 100
iptables -A INPUT -m mark --mark 100 -p udp --sport 68 -j ULOG
iptables -t mangle -A OUTPUT -d IP_RED_LOCAL -j MARK --set-mark 200
iptables -A OUTPUT -m mark --mark 200 -p udp --dport 68 -j ULOG
• Paquete ForwardDhcpFrames_1_mipsel.ipk
![Page 18: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/18.jpg)
Funcionamiento de nuestro mecanismo
![Page 19: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/19.jpg)
DEMOSTRACIÓN
![Page 20: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/20.jpg)
PRUEBAS Y RESULTADOS
![Page 21: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/21.jpg)
Pruebas y resultados obtenidos
Comparación de 3 escenarios:
1.Switch con OpenWrt, sin configuraciones.
2.Ruteador con VLANs creadas.
3.Solución ejecutándose.
![Page 22: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/22.jpg)
Pruebas y resultados obtenidos
Medición de:
1.Porcentaje de paquetes perdidos.
2.Tiempo de recepción de respuestas ARP.
3.Tiempo de transmisión de paquetes.
![Page 23: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/23.jpg)
Paquetes perdidos
![Page 24: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/24.jpg)
Respuestas ARP
![Page 25: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/25.jpg)
Transmisión de datos
![Page 26: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/26.jpg)
CONCLUSIONES
![Page 27: “ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R](https://reader035.vdocumento.com/reader035/viewer/2022062808/5665b4281a28abb57c8f9c49/html5/thumbnails/27.jpg)
27
Conclusiones
No fue necesaria la implementación de un gran sistema. El nivel de rendimiento que obtendríamos por la
utilización de la librería libpcap no fue considerado inicialmente.
El tiempo en que una respuesta ARP llega a un nodo que realiza una consulta, no es considerado crítico, ya que únicamente las consultas ARP son afectadas y en una red, el porcentaje de tráfico ARP puede ser considerado despreciable.