L’ARP Poisoning, anche detto ARP Spoofing, è uno dei più efficaci attacchi verso Local Area Network (LAN). Il motivo? Sebbene sia una tecnica piuttosto vecchia, si basa su un protocollo ancora molto utilizzato e che, per ragioni di compatibilità, non è stato aggiornato nel corso degli anni. Capire come funziona l’ARP Poisoning, dunque, significa imparare a mettere al riparo le reti su cui si lavora nei confronti di una delle più diffuse e micidiali minacce. Ma prima, occorre una veloce ripasso su cosa sia l’Address Resolution Protocol e su come questo possa essere sfruttato a fini malevoli.
Cos’è l’ARP
L’ARP, protagonista dell’ARP Poisoning, è un protocollo per la trasmissione di dati nel Link Layer, secondo l’Internet Protocol Suite (IPS). Questo perché si rivolge esclusivamente alle Local Area Network, laddove i computer siano collegati tra loro da cavi Ethernet e switch, senza quindi passare per gateway o router.
Se, per esempio, un computer A trasmette dei dati a un computer B, dopo aver rilevato l’indirizzo IP del destinatario si rivolge alla tabella ARP per ottenerne anche lo specifico indirizzo MAC. Nel caso non venisse trovato, il computer A invia una richiesta ARP a tutti i computer connessi alla rete, in attesa della risposta da parte di un computer, che a questo punto fornisce il MAC con un messaggio ARP Reply.
ARP Poisoning in breve
L’ARP Poisoning, e viene detto Spoofing proprio per questo, consiste nell’inviare un ARP Reply con l’indirizzo MAC della macchina dell’attaccante, opportunatamente collegata alla rete. Se l’ARP Poisoning va a buon fine si concretizza un attacco man in the middle in pieno stile, e quindi c’è la possibilità di intercettare il traffico e addirittura modificare i pacchetti dati.
Un attacco fisico
L’ARP Poisoning è un attacco fisico poiché, come detto, necessita di un collegamento fisico alla rete, di modo da ridirezionare il traffico alla macchina del criminale informatico. Va da sé, quindi, che la protezione o i sistemi di mitigazione per l’ARP Poisoning passa per un accurato controllo degli accessi.
Sono proprio i sistemi NAC (Network Access Control) a garantire la massima protezione non solo da ARP Spoofing, ma anche da buona parte degli attacchi man in the middle. Questo perché si bloccano tutti gli accessi non autorizzati alla rete, sfruttando tecnologie come SNMP o il protocollo 802.11X.
Il NAC è la soluzione
La protezione offerta da un buon NAC, ovviamente, non è limitata a una sola tecnologia, ma deve la sua efficacia a un insieme di soluzioni ben integrate tra loro.
Un NAC deve quindi, innanzitutto, rilevare i dispositivi di rete autorizzati e creare così una “baseline” grazie alla quale individuare subito quelli estranei. Solo a questo punto entrano in gioco tecnologie che si occupano specificamente di rilevare attacchi come ARP Poisoning e MAC Spoofing. E per offrire un ulteriore livello di difesa, ecco che un NAC di alto livello include anche sistemi di autenticazione come LDAP, RADIUS e AD.
Questione d’interfaccia
I benefici di una tecnologia NAC, nella prevenzione di attacchi come ARP Poisoning, non si limitano alla protezione vera e propria, ma abbracciano anche l’accessibilità degli strumenti, intesa come integrazione con reti e tecnologie pre-esistenti, ma anche come interfacce semplici da gestire, anche da remoto, e che concentrano tutti gli aspetti critici in un’unica dashboard.
Proprio questa gestione degli accessi, da parte di un Network Access Control, permette di rendersi conto, in tempo reale, se è in corso un tentativo di attacco, di modo da risalire anche alla sua genesi. Considerando la semplicità con cui è possibile sferrare un attacco di ARP Poisoning, e la sua efficacia, è chiaro che una tecnologia NAC dovrebbe rientrare nella dotazione minima di qualsiasi sistema informatico aziendale.
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.