Embed Size (px)
Citation preview
ArpON - ARP Handler Inspection
Iva Radic
January 2017
1 ARP protokol
ARP (Address Resolution Protocol) je komunikacijski protokol koristen za doz-navanje fizicke adrese uredaja na lokalnoj mrezi iz poznate mrezne adrese.Protokol je implementiran nad mnostvom kombinacija izvedbenih tehnologijamreznog i sloja podatkovne poveznice, no najkoristenija inacica je spajanje IPv4(IEEE 802.3) na mreznom sloju sa IEEE 802.11 na sloju podatkovne poveznice.
Protokol pruza funkcionalnost putem slanja ARP zahtjeva, odnosno ARPodgovora unutar lokalne mreze, kako bi se komunikacija uspjesno ostvarila izmedumreznih uredaja u istoj lokalnoj mrezi.
1.1 Princip rada
Ukoliko racunalo A zeli komunicirati sa racunalom B, A prvo mora saznatiadresu racunala B. Putem DNS upita, A saznaje IP adresu racunala B. Zauspjesno slanje poruke, uz IP, potrebna mu je i MAC adresa. MAC adresuracunala B racunalo A prvo pretrazuje u vlastitoj ARP tablici u prirucnojmemoriji (cached ARP table). Ukoliko je za danu IP adresu vec pohranjenaMAC adresa, racunalo A moze poslati paket racunalu B. Ukoliko u ARP tablicine postoji zapis za IP adresu racunala B, racunalo A salje ARP zahtjev svimuredajima u lokalnoj mrezi (broadcast), kojim trazi od racunala s IP adresomnavedenom u broadcastanom paketu da se predstavi i posalje mu svoju MACadresu po povratnoj poruci. Racunalo B prima broadcastani paket, prepoznajeu njemu svoju adresu, te salje ARP odgovor racunalu A sa svojom IP i MACadresom. Oba racunala pohranjuju zapis o IP i MAC adresi sugovornika u ARPtablicu, kako bi adresu mogli kasnije koristiti u komunikaciji.
Osim zahtjeva i odgovora, postoje i drugi tipovi ARP poruka; primjerice,ARP probe je ARP paket koji u adresnom polju posiljatelja sadrzi samo nule.Gratuitous ARP paket ima jednaku IP adresu na mjesu adrese posiljatelja iadrese primatelja. Namjene ovih tipova poruka nisu pokrivene u ovom semi-naru te se zainteresiranog citatelja upucuje na prikladnu literaturu. Za daljnje
1
razumijevanje tematike obradene u seminaru, dovoljno je poznavati princip radai osnovnu funkcionalnost ARP protokola, objasnjene u prethodnom paragrafu.
2 ARP spoofing
U podrucju racunalnih mreza, pojam spoofing napada oznacava tehniku na-pada pri kojoj se napadac prerusava u drugog korisnika koristeci lazne podatke.Pojam ARP spoofinga (ARP poisoning, ARP cache poisoning) odnosi se natehniku napada kada napadac salje lazne ARP poruke u lokalnu mrezu, pri-marno s ciljen asociranja svoje MAC adrese sa IP adresom drugog racunala.Kao posljedica, svaka poruka koja pristize na napadnuto racunalo, biva poslananapadacu.
Ovakvo nesto moguce je zbog toga sto je ARP takozvani stateless protokol,sto znaci da se svaki zahtjev tretira kao nova transakcija, neovisna o prethodnojkomunikaciji. Posljedicno tome, mrezni uredaji ce automatski pohraniti podatkeiz ARP odgovora, neovisno o tome jesu li taj odgovor trazili, te neovisno o tomepostoji li vec valjan zapis o mreznom uredaju s IP/MAC adresom iz odgovorau ARP tablici. Drugim rijecima, ARP protokol ne implementira metodu au-tentifikacije pristiglih paketa. Upravo ta cinjenica otvara prostor malicioznimosobama odnosno programima.
2.1 Struktura napada
Osnovna ideja ARP spoofinga jest iskoristiti nedostatak autentifikacije ARPprotokola i to slanjem laznih ARP poruka u lokalnu mrezu. Napad se pritommoze izvrsavati sa kompromitiranog ureaja na lokalnoj mrezi, ili putem na-padacevog ureaja koji je direktno spojen na napadnutu lokalnu mrezu.Cilj na-pada je povezati MAC adresu kompromitiranog odnosno napadacevog ureajasa IP adresom zrtve, sto za posljedicu ima preusmjeravanje svog prometa nam-jenjenog ztrvi prema napadacu. Napadac taj promet moze proslijediti zrtvi uizvornom ili promijenjenom obliku, ali i potpuno blokirati promet.
U svom bazicnom obliku, ARP spoofing napadi koriste se za prisluskivanjeosjetljivih informacija. Meutim, ARP napad moze biti i dio denial-of-servicenapada: napadac poveze vise IP adresa sa MAC adresom jednog mreznog ureaja,time ga preopterecujuci i onemogucujuci mu rad. Moze se iskoristiti i za krausesije, kao i za man-in-the-middle napade, ciji je cilj presretanje i modifikacijaprometa izmeu zrtava.
ARP spoofing napadi tipicno se izvode koristenjem jednog od brojnih spoof-ing alata, relativno su jednostavni za izvoenje, te teski za uocavanje.
2
2.2 Pregled metoda zastite
Zrtva se od napadaca iz vanjske mreze moze obraniti filtriranjem paketa. Fil-triranje paketa je postupak pregledavanja paketa pri kojem se odbacuju svi onipaketi s konfliktnom u adresnom prostoru - paketi iz vanjske mreze s izvorisnomadresom iz lokalne mreze i obrnuto. Kao metoda prevencije preporuca se izbje-gavanje povjeljivih veza (trust relationship) koje se autentificiraju samo putemIP adresa. Takoer se preporuca koristenje kriptografskih protokola na visimslojevima mreze (SSH, TLS, HTTPS i drugih) koji enkriptiraju podatke prijeslanja u mrezu te autentificiraju podatke po primitku.
Obranu od ARP spoofing napada pojacava i koristenje specijaliziranih pro-grama za prevenciju i detekciju takvog napada, koji nad ARP protokolom do-daju sloj autentifikacije te blokiraju pakete za koje se sumnja da su modificiraniili krivotvoreni. Cak i jednostavni alati za logiranje (arpwatch, pohranjuje loguocenih parova IP/MAC adresa te vrijeme uocavanja) pruzaju dodatni nivosigurnosti od ovakvog tipa napada.
DHCP snooping je serija tehnika primjenjenih nad infrastrukturom DHCP-a(Dynamic Host Configuration Protokol) u svrhu poboljsavanja sigurnosti, meuostalim i od ARP napada. Uloga DHCP-a u mrezi je alokacija IP adresa kli-jentima u lokalnoj mrezi. DHCP snooping konfigurira se LAN switchu kako bise pristup mrezi dopustio iskljucivo specificiranim parovima IP/MAC adresa.Pravilnom konfiguracijom omogucuje se pracenje lokacije svih mreznih ureaja,osigurava se da koristeni mrezni ureaji koriste iskljucivo adresu koja im je dodi-jeljena, te osigurava dostupnost samo autoriziranih DHCP servera. Kod DHCPsnoopinga, informacije o IP adresama i odgovarajucim im MAC adresama pohran-jene su u bazu na mreznom switchu, te su paketi koji ne odgovaraju pohranjeniminformacijama automatski odbaceni. Time se onemogucuje ARP spoofing napadiz vana.
3 ArpON
ArpON je UNIX program (daemon) kojemu je svrha pruziti zastitu od na-pada temeljenih na iskoristavanju ranjivosti ARP-a, i to koristenjem tri vrsteanti-ARP-spoofing tehnika - staticke inspekcije (SARPI), dinamicke inspekcije(DARPI) i hibridne inspekcije (HARPI). Ideja programa je postavljanje politikanad unose (staticke i/ili dinamicke) koji se odnose na zeljeno mrezno sucelje.
Vazno je primijetiti da daemon postavlja dva parametra jezgre nad odrezenimmreznim suceljem: arp ignore i arp accept. Arp ignore parametar uvijek jepostavljen na 8, i to zato da bi se onemogucilo, slanje ARP odgovora na priml-jene ARP zahtjeve za sve lokalne adrese (ARP odgovori koji se odnose naodreeno sucelje biti ce poslani za to sucelje od strane ArpON daemona a neoperacijskog sustava). Drugi parametar, arp accept, uvijek je postavljen na 0,da bi se onemogucilo stvaranje novih upisa (na razini OS-a ili samo zadanog
3
mreznog sucelja) potaknutih od strane gratuoznih ARP zahtjeva i odgovora.Tu ulogu na sebe takoer preuzima daemon.
Dakle, funkcija ArpON daemona jest zaobici propisano ponasanje operaci-jskog sustava prema ARP protokolu, na nacin da standard bude zadovoljen, akomunikacija sigurna.
3.1 SARPI
SARPI (Static ARP Inspection) organizira i postavlja politike za rad nad statickimupisima u ARP tablicu odreenog mreznog sucelja u svrhu zastite od napada.SARPI pruza zastitu za staticki konfigurirane mreze (bez DHCP-a). Dozvol-jeni unosi u ARP tablicu nalaze se u konfiguracijskoj datoteci ArpON daemona.Graficki prikaz SARPI-ja za dopustanje (Slika 1) i odbijanje (Slika 2) komu-nikacije nalaze se u nastavku.
Procedure koje ArpON pruza za SARPI su CLEAN, UPDATE, REFRESHi ALLOW.
• CLEAN: SARPI cisti iz ARP cachea specificirane unose koji mogu i nemoraju postojati u konfiguracijskoj datoteci
• UPDATE: SARPI azurira u ARP cacheu sve staticke unose u ARP tablicikoji su navedeni u konfiguracijskoj datoteci
• REFRESH: SARPI osvjezava jedan unos u ARP cachu, a koji je prisutanu konfiguracijskoj datoteci
• ALLOW: SARPI postavlja u ARP cache dinamicki unos koji nije prisutanu konfiguracijskoj datoteci
4
Figure 1: SARPI u radu bez uljeza
Figure 2: SARPI u radu s obranom od uljeza
5
Figure 3: DARPI onemogucuje napad
3.2 DARPI
DARPI (Dynamic ARP Inspection) organizira i postavlja politike nad ARPtablicom za sve dinamicke unose, odnosno pruza zastitu za dinamicki konfig-urirane mreze koristenjem DHCP-a.Procedure koje DARPI pruza su: CLEAN,ALLOW i DENY.
• CLEAN: DARPI cisti sve unose iz ARP cachea
• ALLOW: postavlja unos u ARP cache
• DENY: cisti unos iz ARP cachea
6
Figure 4: HARPI: hibridna komunikacija bez pokusaja napada
3.3 HARPI
HARPI (Hybrid ARP Inspection) postavlja politike za rad nad ARP tablicamaza staticke i dinamicke unose. HARPI kao metoda zastite moze se koristiti nadmrezama koje su staticki i dinamicki konfigurirane DHCP-om. Procedure kojepruza su kombinacije procedura koje pruzaju staticka i dinamicka inspekcija.HARPI takoer treba specificirano mrezno sucelje, a konfiguracijsku datotekuARP cachea koristi samo za staticke unose.
U nastavku slijede dijagrami toka za neometanu komunikaciju, i pokusajometanja komunikacije izmeu dva ureaja od kojih jedan ima staticku, a drugidinamicki konfiguriranu IP adresu.
7
Figure 5: HARPI: hibridna komunikacija uz pokusaj napada
8
