Suplantación de ARP para niños
La suplantación de ARP (también conocida como ARP spoofing) es una técnica que se usa en las redes de computadoras. Imagina que tu computadora quiere enviar un mensaje a otra computadora en la misma red. Para hacerlo, necesita saber la dirección física de esa computadora, llamada dirección MAC. El protocolo ARP (Protocolo de Resolución de Direcciones) es como una guía telefónica que ayuda a encontrar esa dirección MAC a partir de una dirección IP (la dirección lógica de la computadora).
Cuando ocurre una suplantación de ARP, alguien envía mensajes ARP falsos a la red Ethernet. El objetivo es hacer que la dirección MAC de la persona que realiza la suplantación se asocie con la dirección IP de otro dispositivo. Por ejemplo, podría hacerse pasar por la puerta de enlace predeterminada (el dispositivo que conecta tu red local a Internet).
Si esto sucede, cualquier información que tu computadora intente enviar a ese dispositivo (como la puerta de enlace) será enviada por error a la persona que realiza la suplantación. Esa persona puede entonces elegir qué hacer con la información:
- Reenviar la información a su destino real sin modificarla (esto se llama escucha pasiva).
- Cambiar la información antes de reenviarla (esto se llama acción activa).
- Incluso podría causar una interrupción de servicio (DoS) al asociar una dirección MAC que no existe con la dirección IP de un dispositivo importante, haciendo que nadie pueda comunicarse con él.
Este tipo de acción no autorizada puede ser llevada a cabo desde una computadora que ha sido controlada sin permiso, o desde una computadora conectada directamente a la red local.
Contenido
¿Cómo funciona la suplantación de ARP?
El protocolo ARP es como un mensajero que ayuda a los dispositivos a encontrarse en una red. Funciona en las capas 2 y 3 de la red, lo que significa que maneja tanto las direcciones físicas (MAC) como las lógicas (IP).
Peticiones y respuestas ARP
Las peticiones y respuestas ARP a menudo se envían a todos los dispositivos de la red (lo que se conoce como tráfico de difusión). El problema es que el protocolo ARP no está diseñado para verificar la identidad de quien envía los mensajes. Esto significa que es fácil para alguien enviar una respuesta ARP falsa.
Envenenamiento de caché ARP
Aunque la suplantación de ARP puede ocurrir durante las transacciones normales de ARP, lo más común es que se envíen respuestas ARP no solicitadas. Los dispositivos de la red guardan estas respuestas falsas en una memoria temporal llamada "caché ARP". Cuando esta caché se llena de información incorrecta, se produce lo que se conoce como "envenenamiento de caché ARP". Esto engaña a los dispositivos para que envíen su información al lugar equivocado.
¿Cómo protegerse de la suplantación de ARP?
Existen varias maneras de proteger una red de la suplantación de ARP.
Tablas ARP estáticas
Un método es usar "tablas ARP estáticas". Esto significa que en lugar de que los dispositivos aprendan las direcciones MAC y IP dinámicamente, se les dice de antemano qué dirección MAC corresponde a qué dirección IP. Así, no hay una caché dinámica que pueda ser "envenenada". Sin embargo, esto no es práctico para redes grandes, ya que cada vez que un dispositivo cambia su dirección IP, todas las tablas en todos los dispositivos de la red tendrían que ser actualizadas.
Inspección DHCP (DHCP Snooping)
En redes más grandes, es mejor usar la inspección o snooping de DHCP. Con este método, los dispositivos de red (como los conmutadores) mantienen un registro de las direcciones MAC conectadas a cada puerto. De esta manera, pueden detectar rápidamente si se recibe una respuesta ARP falsa. Fabricantes como Cisco, Extreme Networks y Allied Telesis implementan este método en sus equipos de red.
Detección de suplantación
Otra forma de protegerse es detectar la suplantación de ARP cuando ocurre. Arpwatch es un programa para sistemas Unix que "escucha" las respuestas ARP en la red. Si una entrada ARP cambia de forma inesperada, envía una notificación por correo electrónico al administrador de la red.
También se puede buscar la existencia de direcciones MAC duplicadas (que corresponden a diferentes direcciones IP). Esto podría ser una señal de suplantación de ARP, aunque a veces hay usos legítimos para la duplicación de direcciones MAC.
El protocolo RARP (ARP inverso) se usa para encontrar la dirección IP de un dispositivo a partir de su dirección MAC. Si RARP devuelve más de una dirección IP para la misma dirección MAC, podría indicar que esa dirección MAC ha sido duplicada.
Usos autorizados de la suplantación de ARP
Aunque la suplantación de ARP se asocia a menudo con acciones no autorizadas, también puede tener usos legítimos y útiles.
- Registro de red: Algunas herramientas de registro de red pueden usar la suplantación de ARP para redirigir a los dispositivos no registrados a una página de registro antes de permitirles el acceso completo a la red.
- Acceso a Internet en hoteles: En hoteles, se puede usar un dispositivo llamado HEP (head-end processor) para permitir que los portátiles de los clientes accedan a Internet desde sus habitaciones, sin importar su dirección IP.
- Redundancia de servicios: La suplantación de ARP puede usarse para que un servidor de respaldo tome el lugar de otro servidor que ha fallado. Esto asegura que los servicios de red sigan funcionando sin interrupciones.
Herramientas para la suplantación de ARP
Existen varias herramientas que pueden usarse para realizar acciones de envenenamiento de ARP, como Arpspoof (parte de las herramientas de DSniff), Arpoison, Caín y Abel, Ettercap, Netcat, SwitchSniffer y AyCarrumba.
Véase también
En inglés: ARP spoofing Facts for Kids
