Address Resolution Protocol (ARP) a jeho spoofingové útoky nejsou ve světě hackerských hrozeb ničím novým, ale historie vrhá světlo na to, proč jsou tyto typy útoků tak běžné. ARP byl poprvé vyvinut v 80. letech pro sítě pro správu připojení bez samostatného zařízení připojeného ke každému. Ačkoli to může dvěma strojům usnadnit efektivnější a volnější připojení k přenosu informací, ponechává také vaše data otevřená zranitelnostem a krádeži.
bezpečnost je všudypřítomný problém při použití ARP. ARP spoofing, známý také jako otrava ARP, je kybernetický útok, který se provádí přes místní síť (LAN), která odesílá škodlivé pakety ARP do výchozí brány v síti LAN. Účelem je, aby útočníci zamaskovali, odkud pochází jejich IP adresa, aby mohli zaútočit na vaše zařízení pro škodlivé účely. A protože skrývají, kdo jsou, není vždy snadné odhalit škodlivou aktivitu, dokud nebude příliš pozdě.
zjistěte, zda je váš web otevřen takovým útokům s Indusface byl bezplatný Web Security Scan
nicméně, i když víte, že ARP spoofing je všudypřítomný problém, jak zastavit útoky v jejich stopách není vždy jasné. Obvykle neexistuje rychlá oprava, která by pomohla identifikovat a bojovat proti spoofingu ARP, ale existují způsoby, jak se chránit a zůstat proaktivní ohledně vaší bezpečnosti. Zde je návod, jak začít.
- způsoby, jak chránit před otravou ARP
- porozumět procesu spoofingu
- Identifikujte útok spoofingu
- Spolehněte se na virtuální privátní sítě
- použijte statický ARP
- získejte detekční nástroj
- Vyhněte se vztahům důvěry
- nastavení filtrování paketů
- podívejte se na nastavení monitorování škodlivého softwaru
- spusťte Spoofingové útoky
způsoby, jak chránit před otravou ARP
porozumět procesu spoofingu
než budete moci identifikovat a zabránit útoku spoofingu v plném rozsahu, musíte pochopit proces a co hledat, abyste mohli bojovat proti budoucí události.
když hacker odešle falešnou zprávu ARP přes místní síť, jsou pak schopni propojit vaši MAC adresu s IP adresou legitimního počítače nebo serveru. Ve skutečnosti se připojují k Vaší IP adrese Pod škodlivými záminkami a mohou začít přijímat data, která byla určena pro zdánlivě legitimní IP adresu.
cílem je zjistit, kdy je IP adresa falšována a co útočník dělá. Můžete se podívat na abnormální aktivitu na vašem serveru a pokusit se zjistit, na jaké informace cílí. To vám také může poskytnout vodítka o tom, jaký typ dat může být zranitelný vůči jakémukoli útoku, nejen spoofing ARP.
Identifikujte útok spoofingu
jakmile zjistíte, jak ARP spoofing funguje a co hledat, je také důležité určit, jaký druh útoku cílí na vaše zařízení. Ačkoli každá událost ARP spoofing následuje podobný proces útoku, mohou se lišit v tom, jak přistupují k vašim zařízením. Určení, který útok zažíváte, vám může pomoci určit nejlepší způsob prevence a řešení.
Veracode nabízí zdroj, který uvádí tři hlavní spoofingové útoky, které je třeba hledat:
- útoky typu Denial-of-service: při útoku typu denial-of-service (DoS) se kybernetický hacker pokusí narušit připojení služby nebo hostitele, aby vaše stránky nebo zdroje nebyly dostupné zamýšlenému publiku. Útočník obvykle použije jeden počítač a připojení k Internetu, aby přemohl a zaplavil systém oběti, aby měl přístup k jejich datům.
- session hijacking: session hijacking útoky mohou používat ARP spoofing ukrást ID relace a otevřít dveře k vašim soukromým datům. To je důvod, proč používání veřejné WiFi v kavárnách a rušných letištích může vytvořit zranitelnou situaci pro vaše data.
- útoky typu Man-in-the-middle: útoky typu Man-in-the-middle používají ARP spoofing k zachycení příchozího provozu od legitimního uživatele a jeho úpravě, aby získali přístup k relaci.
jakmile víte, jaký druh útoku jste byli zasaženi a co se děje ve vašich systémech, můžete určit, jaký postup podniknout nebo jak lépe chránit vaše zařízení a data.
Spolehněte se na virtuální privátní sítě
jedním ze způsobů, jak zabránit spoofingu ARP v první řadě, je spoléhat se na virtuální privátní sítě (VPN). Když se připojíte k Internetu, obvykle se nejprve připojíte k poskytovateli internetových služeb (ISP), abyste se připojili k jiné webové stránce. Když však používáte VPN, používáte šifrovaný tunel, který do značné míry blokuje vaši aktivitu před hackerskými útoky ARP. Jak způsob, kterým provádíte online aktivitu, tak data, která jím procházejí, jsou šifrována.
měli byste zvážit VPN, pokud často cestujete nebo používáte veřejné hotspoty WiFi při práci s citlivými informacemi nebo daty. Můžete také zvážit použití mobilního internetového zařízení, které by mohlo pomoci snížit šance, že se někdo dostane do vašeho systému prostřednictvím veřejné WiFi bez požadavků na přihlašovací jméno nebo heslo. Přestože VPN mohou být bezpečnějším způsobem používání internetu,může někdy zpomalit váš online přístup kvůli šifrovacímu a dešifrovacímu výkonu.
použijte statický ARP
vytvoření statické položky ARP na vašem serveru může pomoci snížit riziko spoofingu. Pokud máte dva hostitele, kteří spolu pravidelně komunikují, nastavení statické položky ARP vytvoří ve vaší mezipaměti ARP trvalou položku, která může pomoci přidat vrstvu ochrany před spoofingem.
router CISCO může pomoci prozkoumat informace o ARP a sledovat, zda dochází k události spoofingu ARP. To může trvat nějaké pokročilé znalosti skutečně pochopit, jak používat statické ARP a nastavit jej vhodně. Ujistěte se, že jakákoli metoda, kterou používáte, je provedena správně, nebo byste mohli skončit s falešným pocitem bezpečí ohledně vašeho ARP.
získejte detekční nástroj
i při znalostech a technikách ARP není vždy možné detekovat spoofingový útok. Hackeři jsou stále nenápadnější, když zůstávají nezjištěni a používají nové technologie a nástroje, aby zůstali před svými oběťmi. Místo přísného zaměření na prevenci se ujistěte, že máte zavedenou metodu detekce. Použití detekčního nástroje třetí strany vám pomůže zjistit, kdy dochází k útoku spoofingu, takže můžete pracovat na jeho zastavení v jeho stopách.
nástroj třetí strany, jako je XArp, může pomoci zjistit, zda jste napadeni spoofingem ARP. To je však jen první krok k ochraně ARP spoofing. Kromě použití správných nástrojů byste měli také zvážit robustní monitorovací nástroj nebo službu.
Vyhněte se vztahům důvěry
některé systémy spoléhají na vztahy důvěry IP, které se automaticky připojí k jiným zařízením za účelem přenosu a sdílení informací. Měli byste se však zcela vyhnout spoléhání se na vztahy důvěry IP ve vaší firmě. Když vaše zařízení používají IP adresy pouze k ověření totožnosti jiného počítače nebo uživatele, je pro hackera snadné infiltrovat a zfalšovat váš ARP.
dalším řešením je spoléhat se na soukromé přihlašovací údaje a hesla k identifikaci uživatelů. Bez ohledu na systém, který se rozhodnete ověřit své uživatele, potřebujete zavedené zásady ochrany ve vaší organizaci. Tato jednoduchá technika může vytvořit přidanou vrstvu ochrany a sledovat, kdo se snaží získat přístup k vašim systémům.
nastavení filtrování paketů
někteří útočníci ARP pošlou ARP pakety přes LAN, které obsahují MAC adresu útočníka a IP adresu oběti. Po odeslání paketů může útočník začít přijímat data nebo čekat a zůstat relativně nezjištěný, když se rozjíždí a zahájí následný útok. A když do vašeho systému pronikl škodlivý paket, může být obtížné zastavit následný útok a zajistit, aby byl váš systém čistý.
filtrování a kontrola paketů může pomoci chytit otrávené pakety dříve, než dosáhnou svého cíle. Může filtrovat a blokovat škodlivé pakety, které zobrazují konfliktní zdrojové informace.
podívejte se na nastavení monitorování škodlivého softwaru
antivirové a malwarové nástroje, které již používáte, mohou nabídnout určité využití proti ARP spoofingu. Podívejte se na nastavení monitorování malwaru a vyhledejte kategorie a výběry, které monitorují podezřelý provoz ARP z koncových bodů. Měli byste také povolit všechny možnosti prevence spoofingu ARP a zastavit procesy koncových bodů, které odesílají podezřelý provoz ARP.
i když můžete zvýšit ochranu proti ARP spoofingu pomocí malwarových nástrojů, je stále důležité používat jiné techniky, které zahrnují detekci. V opačném případě si možná neuvědomíte, že hacker obešel vaše malware nástroje a infiltroval vaše data navzdory vašim nejlepším bezpečnostním nástrojům.
spusťte Spoofingové útoky
identifikace a prevence jsou klíčem k prevenci spoofingových útoků. Můžete však zvýšit své šance zůstat v bezpečí a chránit svá data spuštěním vlastních spoofingových útoků. Spolupracujte se svým bezpečnostním důstojníkem nebo IT týmem a spusťte spoofingový útok, abyste zjistili, zda techniky, které používáte, stačí k tomu, aby byl váš systém a data v bezpečí.
jak zjistíte nové chyby zabezpečení, zdokumentujte své testy a techniky, abyste mohli sledovat, co funguje a co selhalo. Spusťte své vlastní spoofingové útoky jednou za čtvrtletí, nebo dokonce jednou za měsíc, abyste zůstali o krok napřed před hackery a jejich vyvíjejícími se strategiemi. Jakmile se v procesu stanete pohodlnějšími a plynulejšími, spusťte workshopy se zaměstnanci o tom, co hledat při útocích, a vytvořte kulturu bezpečnosti ve vaší společnosti.