Il existe de nombreuses façons d'accéder à un système. L'empoisonnement ARP cible une façon dont nos appareils communiquent entre eux.
Avoir une défense unique en matière de cybersécurité ne garantit pas une sécurité totale, car les pirates informatiques continuent de concevoir de nouvelles façons de percer. Ils comprennent que lancer des attaques directes n'est plus aussi efficace puisque des mécanismes de sécurité avancés peuvent les détecter facilement. Se cacher derrière des réseaux légitimes grâce à des techniques telles que les attaques d'empoisonnement ARP facilite leur travail.
Avec l'empoisonnement ARP, un cybercriminel peut rediriger votre adresse IP et intercepter vos communications en transit à votre insu. Voici comment fonctionne cette méthode d'attaque et comment vous pouvez l'empêcher.
Qu'est-ce qu'une attaque d'empoisonnement ARP?
Le protocole de résolution d'adresse (ARP) est une procédure de connectivité qui relie un protocole Internet (IP) adresse à l'adresse physique statique d'un contrôle d'accès au support (MAC) sur un réseau local (LAN). Étant donné que les adresses IP et MAC sont de compositions différentes, elles ne sont pas compatibles. ARP réconcilie cette différence pour s'assurer que les deux éléments sont synchronisés. Sinon, ils ne se reconnaîtraient pas.
Une attaque d'empoisonnement ARP est un processus par lequel un intrus envoie un contenu malveillant via un réseau local (LAN) pour rediriger la connexion d'une adresse IP légitime vers son adresse MAC. Au cours de cette opération, l'attaquant déplace l'adresse MAC d'origine qui doit se connecter à l'adresse IP, lui permettant d'accéder aux messages que les gens envoient à l'adresse MAC authentique.
Comment fonctionne une attaque d'empoisonnement ARP?
Plusieurs réseaux peuvent fonctionner sur un réseau local (LAN) en même temps. Chaque réseau actif obtient une adresse IP particulière qui lui sert de moyen d'identification et le différencie des autres. Lorsque les données des différents réseaux arrivent à la passerelle, l'ARP les trie en conséquence, de sorte que chacune va directement à sa destination prévue.
L'attaquant crée et envoie un faux message ARP au système profilé. Ils ajoutent leur adresse MAC et l'adresse IP de la cible dans le message. Lors de la réception et du traitement du faux message ARP, le système synchronise l'adresse MAC de l'attaquant avec l'adresse IP.
Une fois que le réseau local connecte l'adresse IP à l'adresse MAC de l'intrus, l'intrus commence à recevoir tous les messages destinés à l'adresse MAC légitime. Ils peuvent écouter la communication pour récupérer des données sensibles en échange, modifier la communication en insérer du contenu malveillant pour aider leur intention, ou même supprimer les données en transit, afin que le destinataire ne reçoive pas il.
Types d'attaques d'empoisonnement ARP
Les cybercriminels peuvent lancer des attaques ARP de deux manières: l'usurpation d'identité et l'empoisonnement du cache.
Usurpation ARP
L'usurpation d'identité ARP est un processus par lequel un acteur malveillant falsifie et envoie une réponse ARP au système qu'il cible. Une réponse falsifiée est tout ce que l'intrus doit envoyer pour que le système en question ajoute son adresse MAC à la liste blanche. Cela rend l'usurpation ARP facile à exécuter.
Les attaquants utilisent également l'usurpation d'ARP pour effectuer d'autres types d'attaques telles que le détournement de session où ils prendre le contrôle de vos sessions de navigation et les attaques Man-in-the-Middle où ils intercepter les communications entre deux appareils connecté à un réseau.
Empoisonnement du cache ARP
L'empoisonnement dans ce type d'attaque ARP provient du fait que l'attaquant crée et envoie plusieurs réponses ARP falsifiées à son système cible. Ils le font au point où le système est submergé d'entrées invalides et ne peut pas identifier ses réseaux légitimes.
Les cybercriminels qui créent l'agitation du trafic saisiront l'opportunité de rediriger les adresses IP vers leurs propres systèmes et d'intercepter les communications qui les traversent. Les acteurs de la menace utilisent cette méthode d'attaque ARP pour faciliter d'autres formes d'attaques comme le déni de service (DoS) où ils inondent le système cible de messages non pertinents pour provoquer un embouteillage, puis rediriger l'IP adresses.
Comment pouvez-vous prévenir une attaque d'empoisonnement ARP?
Les attaques d'empoisonnement ARP ont des impacts négatifs sur votre système tels que la perte de données critiques, une entaille dans votre réputation en raison de l'exposition de vos données sensibles, et même des temps d'arrêt si l'attaquant falsifiait les éléments qui pilotent votre réseau.
Si vous ne voulez subir aucune des conséquences ci-dessus, voici des moyens de prévenir les attaques d'empoisonnement ARP.
1. Créer des tables ARP statiques
La technologie ARP ne peut pas valider automatiquement les adresses IP légitimes avec leurs adresses MAC. Cela permet aux cybercriminels de forger des réponses ARP. Vous pouvez corriger cette lacune en créant une table ARP statique dans laquelle vous mappez toutes les adresses MAC authentiques de votre réseau à leurs adresses IP légitimes. Les deux composants se connecteront et traiteront uniquement leurs adresses correspondantes, supprimant ainsi la possibilité pour les attaquants de connecter leurs adresses MAC au réseau.
La construction de tables statiques ARP implique beaucoup de travail manuel, ce qui prend du temps. Mais si vous vous mettez au travail, vous éviterez plusieurs attaques d'empoisonnement ARP.
2. Mettre en œuvre l'inspection ARP dynamique (DAI)
Dynamic ARP Inspection (DAI) est un système de sécurité réseau qui vérifie les composants ARP présents sur un réseau. Il identifie les connexions avec des adresses MAC illégitimes essayant de rediriger ou d'intercepter des adresses IP valides.
L'inspection DAI vérifie toutes les demandes d'adresse MAC à IP ARP sur le système et confirme qu'elles sont légitimes avant de mettre à jour leurs informations sur le cache ARP et de les transmettre aux bons canaux.
3. Segmentez votre réseau
Les attaquants exécutent des attaques d'empoisonnement ARP, en particulier lorsqu'ils ont accès à toutes les zones d'un réseau. La segmentation de votre réseau signifie que les différents composants seront dans des zones différentes. Même lorsqu'un intrus accède à une partie, il y a une limite au contrôle dont il dispose puisque certains éléments ne sont pas présents.
Vous pouvez solidifier votre sécurité en créant une table ARP statique pour chaque segment de votre réseau. De cette façon, il est plus difficile pour les pirates de s'introduire dans une seule zone, sans parler de toutes les zones.
4. Chiffrez vos données
Le cryptage peut ne pas avoir beaucoup d'impact pour empêcher les pirates d'infiltrer votre réseau avec des attaques d'empoisonnement ARP, mais il les empêchera de modifier vos données s'ils s'en emparent. Et c'est parce que le cryptage des données empêche les intrus de les lire sans la clé de déchiffrement valide.
Si les attaquants de données volent une attaque d'empoisonnement ARP qui leur est inutile en raison du cryptage, ils ne peuvent pas dire que leur attaque a réussi.
Empêcher les attaques d'empoisonnement ARP avec l'authentification
Les attaques d'empoisonnement ARP prospèrent lorsqu'il n'y a pas de paramètres pour sécuriser votre connectivité réseau contre les intrusions. Lorsque vous créez une liste blanche de réseaux et d'appareils à approuver, les éléments qui ne figurent pas sur la liste échoueront au contrôle d'authentification et ne pourront pas entrer dans votre système.
Il est préférable d'empêcher les acteurs malveillants d'entrer dans votre système plutôt que de les traiter lorsqu'ils s'y trouvent déjà. Ils peuvent causer de graves dommages avant que vous puissiez les contenir.
