Der er mange måder at få adgang til et system på. ARP-forgiftning retter sig mod en måde, hvorpå vores enheder kommunikerer med hinanden.
At have et enkelt cybersikkerhedsforsvar garanterer ikke total sikkerhed, da hackere fortsætter med at udtænke nye måder at bryde igennem på. De forstår, at lancering af direkte angreb ikke længere er så effektivt, da avancerede sikkerhedsmekanismer nemt kan opdage dem. At gemme sig bag legitime netværk gennem teknikker som ARP-forgiftningsangreb gør deres job lettere.
Med ARP-forgiftning kan en cyberkriminel omdirigere din IP-adresse og opsnappe din kommunikation i transit uden din viden. Her er, hvordan denne angrebsmetode fungerer, og hvordan du kan forhindre det.
Hvad er et ARP-forgiftningsangreb?
Address Resolution Protocol (ARP) er en forbindelsesprocedure, der forbinder en internetprotokol (IP) adresse til den statiske fysiske adresse på en Media Access Control (MAC) over et lokalt netværk (LAN). Da adresserne på IP og MAC er af forskellig sammensætning, er de ikke kompatible. ARP afstemmer denne forskel for at sikre, at begge elementer er synkroniserede. Ellers ville de ikke genkende sig selv.
Et ARP-forgiftningsangreb er en proces, hvorved en ubuden gæst sender ondsindet indhold via et lokalt netværk (LAN) for at omdirigere forbindelsen af en legitim IP-adresse til deres MAC-adresse. I løbet af dette fortrænger angriberen den originale MAC-adresse, der skulle oprette forbindelse til IP-adressen, hvilket giver dem mulighed for at få adgang til beskeder, som folk sender til den autentiske MAC-adresse.
Hvordan virker et ARP-forgiftningsangreb?
Flere netværk kan fungere på et lokalt netværk (LAN) på samme tid. Hvert aktivt netværk får en bestemt IP-adresse, der tjener som dets identifikationsmiddel og adskiller det fra andre. Når data fra de forskellige netværk kommer til gatewayen, sorterer ARP dem i overensstemmelse hermed, så hver enkelt går direkte til sin tilsigtede destination.
Angriberen opretter og sender en falsk ARP-meddelelse til det profilerede system. De tilføjer deres MAC-adresse og målets IP-adresse i meddelelsen. Ved modtagelse og behandling af den falske ARP-meddelelse synkroniserer systemet angriberens MAC-adresse med IP-adressen.
Når LAN'et forbinder IP-adressen med den ubudne gæsts MAC-adresse, begynder den ubudne gæst at modtage alle meddelelser, der er beregnet til den legitime MAC-adresse. De kan aflytte kommunikationen for at hente følsomme data i bytte, ændre kommunikationen ved indsætte ondsindet indhold for at hjælpe deres hensigt, eller endda slette data under transport, så modtageren ikke får det.
Typer af ARP-forgiftningsangreb
Cyberkriminelle kan iværksætte ARP-angreb på to måder: Spoofing og Cache-forgiftning.
ARP spoofing
ARP-spoofing er en proces, hvor en trusselsaktør forfalsker og sender et ARP-svar til det system, de er rettet mod. Et forfalsket svar er alt, hvad den ubudne gæst skal sende, for at det pågældende system kan tilføje sin MAC-adresse til hvidlisten. Dette gør ARP-spoofing let at udføre.
Angribere bruger også ARP-spoofing til at udføre andre former for angreb, såsom sessionskapring, hvor de overtage dine browsing-sessioner og Man-in-the-Middle angriber, hvor de opsnappe kommunikation mellem to enheder tilsluttet et netværk.
ARP Cache-forgiftning
Forgiftningen i denne form for ARP-angreb stammer fra, at angriberen opretter og sender flere forfalskede ARP-svar til deres målsystem. De gør dette til det punkt, hvor systemet er overvældet med ugyldige poster og ikke kan identificere dets legitime netværk.
Den cyberkriminelle teknik, som trafikoprøret vil gribe muligheden for at omdirigere IP-adresserne til deres egne systemer og opsnappe kommunikation, der passerer gennem dem. Trusselaktører bruger denne ARP-angrebsmetode til at lette andre former for angreb som Denial of Service (DoS) hvor de oversvømmer målsystemet med irrelevante beskeder for at forårsage en trafikprop og derefter omdirigere IP'en adresser.
Hvordan kan du forhindre et ARP-forgiftningsangreb?
ARP-forgiftningsangreb har en negativ indvirkning på dit system, såsom tab af kritiske data, en bule i dit omdømme på grund af eksponeringen af dine følsomme data, og endda nedetid, hvis angriberen manipulerer med elementer, der driver din netværk.
Hvis du ikke ønsker at lide nogen af ovenstående implikationer, er her måder at forhindre ARP-forgiftningsangreb på.
1. Opret statiske ARP-tabeller
ARP-teknologi kan ikke automatisk validere legitime IP-adresser med deres MAC-adresser. Dette benytter cyberkriminelles mulighed for at forfalske ARP-svar. Du kan rette dette hul ved at oprette en statisk ARP-tabel, hvor du kortlægger alle de autentiske MAC-adresser på dit netværk til deres legitime IP-adresser. Begge komponenter vil kun oprette forbindelse til og behandle deres matchende adresser, hvilket fjerner muligheden for, at angribere kan forbinde deres MAC-adresser til netværket.
Opbygning af statiske ARP-tabeller involverer en masse manuelt arbejde, hvilket gør det tidskrævende. Men hvis du gør arbejdet, forhindrer du adskillige ARP-forgiftningsangreb.
2. Implementer Dynamic ARP Inspection (DAI)
Dynamic ARP Inspection (DAI) er et netværkssikkerhedssystem, der verificerer de ARP-komponenter, der findes på et netværk. Den identificerer forbindelser med illegitime MAC-adresser, der forsøger at omdirigere eller opsnappe gyldige IP-adresser.
DAI-inspektion kontrollerer alle ARP MAC-til-IP-adresseanmodninger på systemet og bekræfter, at de er legitime, før de opdaterer deres oplysninger på ARP-cachen og sender dem til de rigtige kanaler.
3. Segmentér dit netværk
Angribere udfører ARP-forgiftningsangreb, især når de har adgang til alle områder af et netværk. Segmentering af dit netværk betyder, at de forskellige komponenter vil være i forskellige områder. Selv når en ubuden gæst får adgang til en del, er der en grænse for den kontrol, de har, da nogle elementer ikke er til stede.
Du kan styrke din sikkerhed ved at oprette en statisk ARP-tabel for hvert segment af dit netværk. På den måde er det sværere for hackere at bryde ind på et enkelt område, endsige alle områder.
4. Krypter dine data
Kryptering har måske ikke meget indflydelse på at forhindre hackere i at infiltrere dit netværk med ARP-forgiftningsangreb, men det vil forhindre dem i at ændre dine data, hvis de får fat i det. Og det er fordi kryptering af data forhindrer ubudne gæster i at læse dem uden den gyldige dekrypteringsnøgle.
Hvis dataangriberne stjæler fra et ARP-forgiftningsangreb er ubrugelige for dem på grund af kryptering, kan de ikke sige, at deres angreb var vellykket.
Forebyg ARP-forgiftningsangreb med godkendelse
ARP-forgiftningsangreb trives, når der ikke er nogen parametre til at sikre din netværksforbindelse mod indtrængen. Når du opretter en hvidliste over netværk og enheder, der skal godkendes, vil elementer, der ikke er på listen, mislykkes i godkendelseskontrollen og vil ikke være i stand til at komme ind på dit system.
Det er bedre at forhindre trusselsaktører i at komme ind i dit system end at håndtere dem, når de allerede er inde. De kan forårsage alvorlig skade, før du kan inddæmme dem.
