O ARP spoofing, também conhecido como envenenamento ARP, é um tipo de ataque cibernético onde um atacante envia mensagens ARP (Address Resolution Protocol) falsificadas numa rede local. Isto resulta na associação do endereço MAC do atacante com o endereço IP de um computador ou servidor legítimo na rede. Uma vez que o endereço MAC do atacante está associado a um endereço IP confiável, o atacante pode interceptar, modificar ou parar os dados destinados a esse endereço IP.
Como os Ataques de ARP Spoofing são Realizados
- Descoberta: O atacante varre a rede para identificar os endereços IP e MAC dos dispositivos na rede.
- Envenenamento: O atacante envia respostas ARP forjadas para os dispositivos alvo. Estas respostas contêm o endereço MAC do atacante, mas afirmam ser do endereço IP de outro dispositivo.
- Intercepção: Uma vez que os dispositivos alvo atualizam as suas tabelas ARP com o endereço MAC do atacante para o endereço IP falsificado, o atacante pode interceptar o tráfego destinado ao dispositivo legítimo.
- Man-In-The_Midle: O atacante pode encaminhar o tráfego interceptado para o destinatário pretendido, fazendo parecer que a comunicação na rede é normal, ou pode modificar os dados antes de os encaminhar.
Como prevenir o ataque?
Dynamic ARP Inspection (DAI):
O DAI é uma funcionalidade de segurança que intercepta, regista e descarta pacotes ARP com associações inválidas de endereços MAC para IP. Garante que apenas pedidos e respostas ARP válidos são retransmitidos.
Switch(config)# ip arp inspection vlan [vlan-id]
Switch(config)# interface [interface-id]
Switch(config-if)# ip arp inspection trust
Port Security
Port security limita o número de endereços MAC válidos permitidos numa porta. Pode ser usada para impedir que um atacante utilize um número excessivo de endereços MAC.
Switch(config)# interface [interface-id]
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum [número]
Switch(config-if)# switchport port-security violation [protect|restrict|shutdown]
Switch(config-if)# switchport port-security mac-address sticky
DHCP Snooping
O DHCP snooping atua como um firewall entre hosts não confiáveis e servidores DHCP confiáveis. Filtra mensagens DHCP não confiáveis e constrói uma tabela de associações.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan [vlan-id]
Switch(config)# interface [interface-id]
Switch(config-if)# ip dhcp snooping trust
Entradas ARP Estáticas
Em dispositivos críticos, podem ser configuradas entradas ARP estáticas para prevenir o ARP spoofing. Este método associa manualmente um endereço IP a um endereço MAC.
Switch(config)# arp [endereço-ip] [endereço-mac] ARPA
Melhores Práticas para Prevenção
Monitorização Regular: Monitorizar regularmente o tráfego de rede para pedidos e respostas ARP incomuns.
Segmentação da Rede: Segmentar a rede para limitar o domínio de broadcast e reduzir o risco de ataques de ARP spoofing.