Address Resolution Protocol (ARP) e i suoi attacchi spoofing non sono una novità nel mondo delle minacce di hacking, ma la storia fa luce sul perché questi tipi di attacchi sono così comuni. ARP è stato sviluppato per la prima volta nel 1980 per le reti per gestire le connessioni senza un singolo dispositivo collegato a ciascuna. Anche se questo può rendere più facile per due macchine per connettersi in modo più efficiente e liberamente per trasmettere informazioni, lascia anche i dati spalancati alle vulnerabilità e furto.
La sicurezza è un problema pervasivo quando si utilizza ARP. Conosciuto anche come ARP poisoning, ARP spoofing è un attacco informatico che viene effettuato su una rete locale (LAN) che invia pacchetti ARP dannosi a un gateway predefinito su una LAN. Lo scopo è che gli aggressori mascherino da dove proviene il loro indirizzo IP in modo che possano attaccare i tuoi dispositivi per scopi dannosi. E poiché stanno nascondendo chi sono, non è sempre facile rilevare l’attività dannosa fino a quando non è troppo tardi.
Scopri se il tuo sito web è aperto a tali attacchi con Indusface ERA Free Website Security Scan
Tuttavia, anche se si sa ARP spoofing è un problema pervasivo, come fermare gli attacchi nelle loro tracce non è sempre chiaro. Di solito non c’è una soluzione rapida per aiutare a identificare e combattere lo spoofing ARP, ma ci sono modi per proteggersi e rimanere proattivi sulla tua sicurezza. Ecco come iniziare.
- Modi per proteggere dall’avvelenamento da ARP
- Comprendere il processo di spoofing
- Identificare l’attacco Spoofing
- Affidarsi a reti private virtuali
- Usa un ARP statico
- Ottieni uno strumento di rilevamento
- Evitare relazioni di fiducia
- Set-Up Packet Filtering
- Guarda le tue impostazioni di monitoraggio del malware
- Esegui attacchi di spoofing
Modi per proteggere dall’avvelenamento da ARP
Comprendere il processo di spoofing
Prima di poter identificare e prevenire un attacco di spoofing su vasta scala, è necessario comprendere il processo e cosa cercare per combattere un evento futuro.
Quando un hacker invia un falso messaggio ARP su una rete locale, è quindi in grado di collegarsi al tuo indirizzo MAC con l’indirizzo IP di un computer o server legittimo. In realtà, si connettono al tuo indirizzo IP con pretese malevoli e possono iniziare a ricevere dati destinati all’indirizzo IP apparentemente legittimo.
L’obiettivo è identificare quando un indirizzo IP viene falsificato e cosa sta facendo quell’attaccante. Puoi esaminare attività anomale sul tuo server e provare a determinare quali informazioni stanno prendendo di mira. Questo può anche dare indizi su quale tipo di dati potrebbe essere vulnerabile a qualsiasi attacco, non solo ARP spoofing.
Identificare l’attacco Spoofing
Una volta capito come funziona lo spoofing ARP e cosa cercare, è anche fondamentale identificare il tipo di attacco che sta prendendo di mira il tuo dispositivo. Sebbene ogni evento di spoofing ARP segua un processo di attacco simile, può variare nel modo in cui accedono ai tuoi dispositivi. Determinare quale attacco stai vivendo può aiutarti a identificare il miglior corso per la prevenzione e la risoluzione.
Veracode offre una risorsa che elenca i tre principali attacchi di spoofing a cui prestare attenzione:
- Attacchi Denial-of-service: in un attacco denial-of-service (DoS), un hacker informatico tenta di interrompere il servizio o la connessione host per rendere il sito o le risorse non disponibili al pubblico previsto. L’attaccante di solito utilizza un computer e una connessione Internet per sopraffare e inondare il sistema di una vittima in modo che possano accedere ai propri dati.
- Dirottamento di sessione: gli attacchi di dirottamento di sessione possono utilizzare lo spoofing ARP per rubare un ID di sessione e aprire la porta ai tuoi dati privati. Questo è il motivo per cui l’utilizzo del WiFi pubblico nei caffè e negli aeroporti affollati può creare una situazione vulnerabile per i tuoi dati.
- Attacchi Man-in-the-middle: gli attacchi Man-in-the-middle utilizzano lo spoofing ARP per intercettare il traffico in arrivo da un utente legittimo e modificarlo per accedere alla sessione.
Una volta che sai con quale tipo di attacco sei stato colpito e cosa sta succedendo nei tuoi sistemi, puoi determinare quale linea d’azione intraprendere o come proteggere meglio i tuoi dispositivi e dati.
Affidarsi a reti private virtuali
Un modo per impedire che lo spoofing ARP avvenga in primo luogo è affidarsi a reti private virtuali (VPN). Quando ci si connette a Internet, in genere ci si connette prima a un provider di servizi Internet (ISP) per connettersi a un altro sito web. Tuttavia, quando usi una VPN, stai utilizzando un tunnel crittografato che blocca in gran parte la tua attività dagli hacker di spoofing ARP. Sia il metodo con cui stai conducendo l’attività online che i dati che lo attraversano sono crittografati.
Dovresti prendere in considerazione una VPN se viaggi frequentemente o usi hotspot WiFi pubblici mentre lavori con informazioni o dati sensibili. Si potrebbe anche considerare l’utilizzo di un dispositivo internet mobile che potrebbe aiutare a ridurre le probabilità di qualcuno che lavora la loro strada nel vostro sistema tramite WiFi pubblico senza requisiti di login o password. Sebbene le VPN possano essere un modo più sicuro per utilizzare Internet, a volte può rallentare l’accesso online a causa della potenza di elaborazione di crittografia e decrittografia.
Usa un ARP statico
Creare una voce ARP statica nel tuo server può aiutare a ridurre il rischio di spoofing. Se si dispone di due host che comunicano regolarmente tra loro, l’impostazione di una voce ARP statica crea una voce permanente nella cache ARP che può aiutare ad aggiungere un livello di protezione dallo spoofing.
Un router CISCO può aiutare a esaminare le informazioni ARP per monitorare se si sta verificando o meno un evento di spoofing ARP. Potrebbero essere necessarie alcune conoscenze avanzate per capire davvero come utilizzare un ARP statico e configurarlo in modo appropriato. Assicurati che qualsiasi metodo che stai usando sia eseguito correttamente o potresti finire con un falso senso di sicurezza sul tuo ARP.
Ottieni uno strumento di rilevamento
Anche con le conoscenze e le tecniche ARP in atto, non è sempre possibile rilevare un attacco di spoofing. Gli hacker stanno diventando sempre più furtivi nel rimanere inosservati e utilizzano nuove tecnologie e strumenti per stare al passo con le loro vittime. Invece di concentrarsi rigorosamente sulla prevenzione, assicurarsi di avere un metodo di rilevamento in atto. L’utilizzo di uno strumento di rilevamento di terze parti può aiutarti a vedere quando sta accadendo un attacco di spoofing in modo da poter lavorare per fermarlo nelle sue tracce.
Uno strumento di terze parti come XArp può aiutare a rilevare se sei stato attaccato da ARP spoofing. Tuttavia, questo è solo il primo passo per la protezione ARP spoofing. Oltre a utilizzare gli strumenti giusti, si dovrebbe anche considerare un robusto strumento di monitoraggio o servizio.
Evitare relazioni di fiducia
Alcuni sistemi si basano su relazioni di fiducia IP che si connettono automaticamente ad altri dispositivi al fine di trasmettere e condividere informazioni. Tuttavia, dovresti evitare completamente di fare affidamento sulle relazioni di fiducia IP nella tua azienda. Quando i tuoi dispositivi utilizzano gli indirizzi IP solo per verificare l’identità di un’altra macchina o di un utente, è facile per un hacker infiltrarsi e falsificare il tuo ARP.
Un’altra soluzione consiste nell’affidarsi a login e password privati per identificare gli utenti. Qualunque sia il sistema scelto per convalidare i tuoi utenti, hai bisogno di criteri di protezione stabiliti nella tua organizzazione. Questa semplice tecnica può creare un ulteriore livello di protezione e tenere traccia di chi sta cercando di accedere ai sistemi.
Set-Up Packet Filtering
Alcuni attaccanti ARP inviano pacchetti ARP attraverso la LAN che contengono l’indirizzo MAC di un attaccante e l’indirizzo IP della vittima. Una volta che i pacchetti sono stati inviati, un utente malintenzionato può iniziare a ricevere i dati o attendere e rimanere relativamente inosservato come rampa fino a lanciare un attacco di follow-up. E quando un pacchetto dannoso si è infiltrato nel tuo sistema, può essere difficile fermare un attacco di follow-up e garantire che il tuo sistema sia pulito.
Il filtraggio e l’ispezione dei pacchetti possono aiutare a catturare i pacchetti avvelenati prima che raggiungano la loro destinazione. Può filtrare e bloccare pacchetti dannosi che mostrano informazioni di origine in conflitto.
Guarda le tue impostazioni di monitoraggio del malware
Gli strumenti antivirus e malware che già usi potrebbero offrire qualche ricorso contro lo spoofing ARP. Guarda le impostazioni di monitoraggio del malware e cerca le categorie e le selezioni che monitorano il traffico ARP sospetto dagli endpoint. È inoltre necessario abilitare tutte le opzioni di prevenzione dello spoofing ARP e arrestare tutti i processi endpoint che inviano traffico ARP sospetto.
Sebbene sia possibile aumentare la protezione contro lo spoofing ARP con strumenti malware, è comunque importante utilizzare altre tecniche che includono il rilevamento. Altrimenti, potresti non renderti conto che un hacker ha eluso i tuoi strumenti malware e si è infiltrato nei tuoi dati nonostante i tuoi migliori strumenti di sicurezza.
Esegui attacchi di spoofing
L’identificazione e la prevenzione sono fondamentali per prevenire gli attacchi di spoofing. Tuttavia, puoi aumentare le tue possibilità di rimanere al sicuro e proteggere i tuoi dati eseguendo i tuoi attacchi di spoofing. Collabora con il responsabile della sicurezza o il team IT per eseguire un attacco di spoofing per verificare se le tecniche utilizzate sono sufficienti a proteggere il sistema e i dati.
Quando rilevi nuove vulnerabilità, documenta i test e le tecniche per tenere traccia di ciò che funziona e di ciò che non è riuscito. Esegui i tuoi attacchi di spoofing una volta al trimestre, o anche una volta al mese, per rimanere un passo avanti agli hacker e alle loro strategie in evoluzione. Man mano che diventi più a tuo agio e fluente nel processo, esegui workshop con i dipendenti su cosa cercare negli attacchi e crea una cultura della sicurezza nella tua azienda.