Address Resolution Protocol (ARP) et ses attaques par usurpation d’identité ne sont pas nouvelles dans le monde des menaces de piratage, mais l’histoire nous éclaire sur les raisons pour lesquelles ces types d’attaques sont si courants. ARP a été développé pour la première fois dans les années 1980 pour les réseaux afin de gérer les connexions sans un périphérique individuel connecté à chacun. Bien que cela puisse permettre à deux machines de se connecter plus efficacement et plus librement pour transmettre des informations, cela laisse également vos données grandes ouvertes aux vulnérabilités et au vol.
La sécurité est un problème omniprésent lors de l’utilisation d’ARP. Également connu sous le nom d’empoisonnement ARP, l’usurpation d’ARP est une cyberattaque menée sur un réseau local (LAN) qui envoie des paquets ARP malveillants à une passerelle par défaut sur un réseau local. Le but est que les attaquants dissimulent l’origine de leur adresse IP afin qu’ils puissent attaquer vos appareils à des fins malveillantes. Et parce qu’ils cachent qui ils sont, il n’est pas toujours facile de détecter l’activité malveillante jusqu’à ce qu’il soit trop tard.
Découvrez si votre site Web est ouvert à de telles attaques avec Indusface ÉTAIT un Scan de sécurité de site Web gratuit
Cependant, même si vous savez que l’usurpation d’ARP est un problème omniprésent, la façon d’arrêter les attaques sur leurs traces n’est pas toujours claire. Il n’y a généralement pas de solution rapide pour aider à identifier et à combattre l’usurpation d’ARP, mais il existe des moyens de vous protéger et de rester proactif en matière de sécurité. Voici comment commencer.
- Moyens de se protéger contre l’empoisonnement ARP
- Comprendre le processus d’usurpation
- Identifier l’attaque d’usurpation d’identité
- S’appuyer sur des Réseaux privés virtuels
- Utiliser un ARP statique
- Obtenez un outil de détection
- Évitez les relations de confiance
- Filtrage de paquets de configuration
- Regardez Vos paramètres de surveillance des logiciels malveillants
- Lancer des attaques d’usurpation d’identité
Moyens de se protéger contre l’empoisonnement ARP
Comprendre le processus d’usurpation
Avant de pouvoir identifier et prévenir une attaque d’usurpation à grande échelle, vous devez comprendre le processus et ce qu’il faut rechercher pour combattre un événement futur.
Lorsqu’un pirate envoie un faux message ARP sur un réseau local, il est alors en mesure de lier votre adresse MAC à l’adresse IP d’un ordinateur ou d’un serveur légitime. En réalité, ils se connectent à votre adresse IP sous des prétextes malveillants et peuvent commencer à recevoir des données destinées à l’adresse IP apparemment légitime.
L’objectif est d’identifier quand une adresse IP est falsifiée et ce que fait cet attaquant. Vous pouvez examiner l’activité anormale sur votre serveur et essayer de déterminer quelles informations ils ciblent. Cela peut également vous donner des indices sur le type de données qui pourrait être vulnérable à toute attaque, pas seulement l’usurpation d’ARP.
Identifier l’attaque d’usurpation d’identité
Une fois que vous avez compris comment fonctionne l’usurpation d’identité ARP et ce qu’il faut rechercher, il est également crucial d’identifier le type d’attaque ciblant votre appareil. Bien que chaque événement d’usurpation d’ARP suive un processus d’attaque similaire, la façon dont ils accèdent à vos appareils peut varier. Déterminer quelle attaque vous subissez peut vous aider à identifier le meilleur moyen de prévention et de résolution.
Veracode offre une ressource qui répertorie les trois principales attaques d’usurpation d’identité à surveiller:
- Attaques par déni de service : Dans une attaque par déni de service (DoS), un cyber-pirate tente de perturber la connexion du service ou de l’hôte pour rendre votre site ou vos ressources indisponibles pour leur public cible. L’attaquant utilisera généralement un ordinateur et une connexion Internet pour submerger et inonder le système d’une victime afin qu’elle puisse accéder à ses données.
- Détournement de session: Les attaques de détournement de session peuvent utiliser l’usurpation d’ARP pour voler un identifiant de session et ouvrir la porte à vos données privées. C’est pourquoi l’utilisation du WiFi public dans les cafés et les aéroports achalandés peut créer une situation vulnérable pour vos données.
- Attaques Man-in-the-middle : Les attaques Man-in-the-middle utilisent l’usurpation ARP pour intercepter le trafic entrant d’un utilisateur légitime et le modifier pour accéder à la session.
Une fois que vous savez quel type d’attaque vous avez été touché et ce qui se passe dans vos systèmes, vous pouvez déterminer quelle ligne de conduite prendre ou comment mieux protéger vos appareils et vos données.
S’appuyer sur des Réseaux privés virtuels
Une façon d’empêcher l’usurpation d’ARP de se produire en premier lieu consiste à s’appuyer sur des Réseaux Privés Virtuels (VPN). Lorsque vous vous connectez à Internet, vous vous connectez généralement d’abord à un fournisseur de services Internet (FAI) afin de vous connecter à un autre site Web. Cependant, lorsque vous utilisez un VPN, vous utilisez un tunnel crypté qui bloque en grande partie votre activité contre les pirates usurpateurs ARP. La méthode par laquelle vous effectuez l’activité en ligne et les données qui la traversent sont cryptées.
Vous devriez envisager un VPN si vous voyagez fréquemment ou utilisez des points d’accès WiFi publics tout en travaillant avec des informations ou des données sensibles. Vous pouvez également envisager d’utiliser un appareil Internet mobile qui pourrait aider à réduire les chances que quelqu’un se fraye un chemin dans votre système via un réseau Wi-Fi public sans besoin de connexion ou de mot de passe. Bien que les VPN puissent être un moyen plus sûr d’utiliser Internet, ils peuvent parfois ralentir votre accès en ligne en raison de la puissance de traitement de chiffrement et de déchiffrement.
Utiliser un ARP statique
Créer une entrée ARP statique sur votre serveur peut aider à réduire le risque d’usurpation d’identité. Si vous avez deux hôtes qui communiquent régulièrement entre eux, la configuration d’une entrée ARP statique crée une entrée permanente dans votre cache ARP qui peut vous aider à ajouter une couche de protection contre l’usurpation d’identité.
Un routeur CISCO peut aider à examiner les informations ARP pour surveiller si un événement d’usurpation d’ARP se produit ou non. Il peut prendre des connaissances avancées pour vraiment comprendre comment utiliser un ARP statique et le configurer de manière appropriée. Assurez-vous que la méthode que vous utilisez est exécutée correctement ou que vous risquez de vous retrouver avec un faux sentiment de sécurité concernant votre ARP.
Obtenez un outil de détection
Même avec les connaissances et les techniques ARP en place, il n’est pas toujours possible de détecter une attaque d’usurpation d’identité. Les pirates informatiques sont de plus en plus furtifs à ne pas être détectés et utilisent de nouvelles technologies et outils pour garder une longueur d’avance sur leurs victimes. Au lieu de se concentrer strictement sur la prévention, assurez-vous d’avoir une méthode de détection en place. L’utilisation d’un outil de détection tiers peut vous aider à voir quand une attaque d’usurpation d’identité se produit afin que vous puissiez travailler à l’arrêter.
Un outil tiers comme XArp peut vous aider à détecter si vous êtes attaqué par l’usurpation d’ARP. Cependant, ce n’est que la première étape de la protection contre l’usurpation d’identité ARP. En plus d’utiliser les bons outils, vous devriez également envisager un outil ou un service de surveillance robuste.
Évitez les relations de confiance
Certains systèmes s’appuient sur des relations de confiance IP qui se connecteront automatiquement à d’autres périphériques afin de transmettre et de partager des informations. Cependant, vous devez absolument éviter de vous fier aux relations de confiance en matière de propriété intellectuelle dans votre entreprise. Lorsque vos appareils utilisent des adresses IP uniquement pour vérifier l’identité d’une autre machine ou d’un utilisateur, il est facile pour un pirate d’infiltrer et d’usurper votre ARP.
Une autre solution consiste à s’appuyer sur des identifiants et des mots de passe privés pour identifier les utilisateurs. Quel que soit le système que vous choisissez pour valider vos utilisateurs, vous avez besoin de politiques de protection établies dans votre organisation. Cette technique simple peut créer une couche de protection supplémentaire et garder une trace de qui essaie d’accéder à vos systèmes.
Filtrage de paquets de configuration
Certains attaquants ARP enverront des paquets ARP sur le réseau local contenant l’adresse MAC d’un attaquant et l’adresse IP de la victime. Une fois que les paquets ont été envoyés, un attaquant peut commencer à recevoir des données ou attendre et rester relativement inaperçu alors qu’il accélère pour lancer une attaque de suivi. Et lorsqu’un paquet malveillant s’est infiltré dans votre système, il peut être difficile d’arrêter une attaque de suivi et de s’assurer que votre système est propre.
Le filtrage et l’inspection des paquets peuvent aider à attraper les paquets empoisonnés avant qu’ils n’atteignent leur destination. Il peut filtrer et bloquer les paquets malveillants qui affichent des informations source en conflit.
Regardez Vos paramètres de surveillance des logiciels malveillants
Les outils antivirus et logiciels malveillants que vous utilisez déjà peuvent offrir des recours contre l’usurpation d’ARP. Examinez vos paramètres de surveillance des logiciels malveillants et recherchez des catégories et des sélections qui surveillent le trafic ARP suspect à partir des points de terminaison. Vous devez également activer toutes les options de prévention de l’usurpation d’ARP et arrêter tous les processus de point de terminaison qui envoient du trafic ARP suspect.
Bien que vous puissiez augmenter votre protection contre l’usurpation d’ARP avec des outils malveillants, il est toujours important d’utiliser d’autres techniques incluant la détection. Sinon, vous ne réaliserez peut-être pas qu’un pirate informatique a contourné vos outils malveillants et infiltré vos données malgré vos meilleurs outils de sécurité.
Lancer des attaques d’usurpation d’identité
L’identification et la prévention sont essentielles pour prévenir les attaques d’usurpation d’identité. Cependant, vous pouvez augmenter vos chances de rester en sécurité et de protéger vos données en exécutant vos propres attaques d’usurpation d’identité. Travaillez avec votre responsable de la sécurité ou votre équipe informatique pour lancer une attaque d’usurpation d’identité afin de voir si les techniques que vous utilisez sont suffisantes pour protéger votre système et vos données.
Lorsque vous détectez de nouvelles vulnérabilités, documentez vos tests et techniques pour suivre ce qui fonctionne et ce qui a échoué. Lancez vos propres attaques par usurpation d’identité une fois par trimestre, voire une fois par mois, pour garder une longueur d’avance sur les pirates et leurs stratégies en évolution. Au fur et à mesure que vous devenez plus à l’aise et que vous maîtrisez le processus, organisez des ateliers avec les employés sur ce qu’il faut rechercher dans les attaques et créez une culture de la sécurité dans votre entreprise.
