ARP

Gratuitous ARP em Switches baseados no Comware

Diego DiasLeave a comment

O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede que utilizam endereços IPv4. A principal função do ARP é a tradução de endereços IP em endereços MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.

Em resumo, o ARP auxilia os computadores e Switches que utilizam endereços IPv4 (endereço lógico) ,  a encontrarem o endereço mac (endereço físico) das máquinas em redes Ethernet.

Todo endereço da camada de rede, precisa do mapeamento do endereço da camada de enlace.

Assim,  todos os equipamentos de rede montam uma tabela ARP dinâmica (em redes LAN), que é atualizada de tempos em tempos (o tempo pode variar dependendo do Sistema Operacional) caso alguma máquina troque de IP, ou aprenda um endereço “velho” via DHCP.

Segue abaixo a saída da tabela ARP de uma máquina rodando windows 7.

C:\Users\comutadores>arp -a
Interface: 192.168.99.104 --- 0x10
  Internet Address      Physical Address      Type
  192.168.99.1          14-d6-4d-7e-f7-d8     dynamic
  192.168.99.100        10-3b-59-c7-62-34     dynamic
  192.168.99.102        e8-8d-28-f2-60-7b     dynamic
  192.168.99.255        ff-ff-ff-ff-ff-ff     static
  224.0.0.22            01-00-5e-00-00-16     static
  224.0.0.251           01-00-5e-00-00-fb     static
  224.0.0.252           01-00-5e-00-00-fc     static
  239.255.255.250       01-00-5e-7f-ff-fa     static
  255.255.255.255       ff-ff-ff-ff-ff-ff     static

Uma das  funções do protocolo ARP é o Gratuitous ARP, que permite o envio de requisição ou resposta (contendo o mapeamento endereço IP + endereço MAC) mesmo quando não é solicitado.

O gratuitous ARP é uma mensagem enviada geralmente para atualizar a tabela ARP.

Por exemplo, imagine que todas as máquinas de uma rede possuam como gateway um Switch de Distribuição que precisa ser substituído por um novo equipamento mais robusto e moderno. Agora, imagine que essa migração deva ocorrer de maneira quase que imperceptível por inúmeras restrições. O novo Switch é então conectado a todos os outros Switches da rede, incluindo o Switch legado, e cada vez que uma interface do Switch legado é colocada em shutdown (desligada), a mesma é configurada no Switch novo.

Pense que, uma vez que o gateway é movido para outro equipamento (com o mesmo IP) o endereço mac  deverá mudar…

A configuração do gratuitous ARP deverá auxiliar nessa questão, com o novo equipamento enviando a atualização do endereço IP + MAC para todos os dispositivos da rede.

interface Vlan-interface1
 ip address 192.168.99.1 255.255.255.0
 arp send-gratuitous-arp

Após a certificação e sucesso da migração, o comando poderá ser removido da interface vlan.

[Switch-Vlan-interface1]undo arp send-gratuitous-arp

Espero ter ajudado

Vídeo: arpspoof (+ sslstrip)

Diego DiasLeave a comment

Os ataques à rede local do tipo man-in-the-middle, ou comumente conhecido como MITM, permitem ao atacante posicionar-se no meio da comunicação entre duas partes. Este ataque é útil para conduzir outros ataques, como sniffing (captura das informações) e session hijacking (sequestro de sessão).

A ferramenta arpspoof falsifica mensagems ARP reply com o intuido de direcionar o tráfego da máquina alvo para a máquina do atacante.

A ferramenta SSLStrip, escrita por Moxie Marlinspike, é bastante utilizada em um ataque man-in-the-middle para SSL Hijacking. O SSLStrip fecha uma sessão HTTP com a vítima e uma sessão HTTPS com a página web, capturando assim as informações que deveriam ser criptografadas.

Vídeo: AS 8 FUNCIONALIDADES DE SEGURANÇA PARA SWITCHES QUE TODO ADMINISTRADOR DE REDES DEVERIA SABER

Diego DiasLeave a comment

Existem inúmeras vulnerabilidades nos switches Ethernet e as ferramentas de ataque para explorá-los existem há mais de uma década. Um atacante pode desviar qualquer tráfego para seu próprio PC para quebrar a confidencialidade, privacidade ou a integridade desse tráfego.

A maioria das vulnerabilidades são inerentes aos protocolos da Camada 2 e não somente aos switches. Se a camada 2 estiver comprometida, é mais fácil criar ataques em protocolos das camadas superiores usando técnicas comuns como ataques de man-in-the-middle (MITM) para coleta e manipulação do conteúdo.

Para explorar as vulnerabilidades da camada 2, um invasor geralmente deve estar mesma rede local do alvo. Se o atacante se utilizar de outros meios de exploração, poderá conseguir um acesso remoto ou até mesmo físico ao equipamento. Uma vez dentro da rede, a movimentação lateral do atacante torna-se mais fácil para conseguir acesso aos dispositivos ou tráfego desejado.

No vídeo descrevemos as 8 (oito) principais funcionalidades de segurança para switches que todo administrador de redes deveria saber.

ARP (Address Resolution Protocol)

Diego DiasLeave a comment

O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede com endereço IPv4. A principal função do ARP é a tradução de endereço IP em endereço MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.

Após a resposta da resquição ARP, o mapeamento IP + MAC é armazenado em cache por alguns minutos. Se houver uma nova comunicação com o endereço IP mapeado na tabela ARP, o dispositivo deverá consultar o mapeamento em cache; e não encaminhará uma mensagem em Broadcast solicitando o endereço MAC. Após o  timeout do endereço, uma nova consulta é encaminhada à rede.

Formato da mensagem ARP:

  • Hardware type: Representa o Tipo de endereço de Hardware utilizado ( como por exemplo o endereço MAC). O valor 1 representa Ethernet.
  • Protocol type: Especifica o tipo de Protocolo a ser mapeado. O valor hexadecimal 0x0800 representa o IP.
  • Hardware address length e protocol address length:Representam o tamanho do endereço de Hardware e do Protocolo em bytes.
  • OP, Operation code: Especifica o tipo da mensagem ARP. O valor 1 representa uma requisição ARP e o valor 2 representa uma resposta ARP.
  • Sender hardware address: Representa o endereço de Hardware (MAC) do dispositivo que está encaminhando a mensagem.
  • Sender protocol address: Representa o endereço de Protocolo (IP) do dispositivo que está encaminhando a mensagem.
  • Target hardware address: Representa o endereço de Hardware (MAC) do dispositivo para qual a mensagem deverá ser entregue. Se o valor estiver preenchido com todos os bits em 0 (zero) significa que a mensagem é uma requisição e o valor deverá ser preenchido na resposta ARP ( se o endereço IP solicitado existir na LAN).
  • Target protocol address: Representa o endereço de Protocolo (IP) do dispositivo para qual a mensagem deverá ser entregue.

A principal vantagem do protocolo é a facilidade do mapeamento dinâmico de endereços de hardware (enlace) para endereços de rede (IP).

Para visualizar a tabela ARP dos Switches baseados no Comware digite: display arp

Type: S-Static D-Dynamic
IP Address     MAC Address   VLAN ID Port Name / AL ID Aging Type

192.168.39.52  001b-b96d-2858  4     GigabitEthernet1/0/2 13 D
192.168.38.49  001f-d0fb-7e59  4     GigabitEthernet1/0/3 14 D
192.168.39.251 001b-b96d-1671  4     GigabitEthernet1/0/2 15 D

Obs: Lembrando que os dispositivos só exibirão a tabela ARP das sub-redes que pertencem!

No próximo post citarei algumas técnicas de proteção contra Ataques ao ARP.

Até a próxima!