Método y dispositivo para evitar que una dirección ARP sea falsificada y atacada.

Un método para defenderse frente a ataques de suplantación del Protocolo de resolución de Direcciones,

ARP, que comprende:

cuando una entrada ARP es actualizable, comprobar si una dirección del Control de Acceso al Medio (MAC) en un mensaje ARP recibido es la misma que una dirección MAC en la entrada ARP, donde el mensaje ARP tiene la misma dirección del Protocolo de Internet, IP, que la entrada ARP; y

si las direcciones MAC son diferentes, determinar (11) que el mensaje ARP recibido es un mensaje ARP ambiguo e iniciar (12) un proceso de verificación ARP;

en donde el inicio del proceso de verificación ARP comprende:

enviar una petición de verificación ARP a la dirección IP en la entrada ARP;

recibir una respuesta a la verificación ARP procedente de la dirección IP; caracterizado por realizar una comprobación de la verificación en función de la dirección MAC en la respuesta a la verificación ARP;

en donde la realización de la comprobación de verificación de acuerdo con la dirección MAC en la respuesta a la verificación ARP comprende:

comparar la dirección MAC en la respuesta a la verificación ARP, la dirección MAC en la entrada ARP y la dirección MAC en el mensaje ARP ambiguo;

si la dirección MAC en la respuesta a la verificación ARP es la misma que una de las otras dos direcciones MAC, realizar una comprobación óptima, en donde la comprobación óptima consiste en tomar la entrada ARP que tiene dicha misma dirección MAC como una entrada ARP óptima y bloquear la entrada ARP óptima; y

si la dirección MAC en la respuesta a la verificación ARP es diferente de las otras dos direcciones MAC, mantener la entrada ARP sin realizar una comprobación óptima,

en donde el bloqueo de la entrada ARP óptima comprende:

configurar la entrada ARP óptima para que no se pueda actualizar de modo que la entrada ARP óptima no se actualice antes de que caduque.

Método y dispositivo para evitar que una dirección ARP sea falsificada y atacada Campo de la invención La presente invención está relacionada con las comunicaciones de red y, en particular, con un método y un equipo para defenderse frente a ataques de suplantación ARP en una red.

Antecedentes de la invención En el entorno de red actual, el Protocolo de Resolución de Direcciones (ARP) es un protocolo de bajo nivel en la pila del Protocolo de Control de Transmisión/Protocolo de Internet (TCP/IP) . La finalidad del ARP es convertir direcciones IP en direcciones de Control de Acceso al Medio (MAC) que son direcciones físicas Ethernet. La comunicación entre dispositivos de red utiliza direcciones MAC pero las aplicaciones basadas en TCP/IP utilizan direcciones IP. Todos los paquetes de datos basados en direccionamiento IP tienen en último término que ser encapsulados en tramas Ethernet basadas en direccionamiento MAC para poderse transmitir. Por lo tanto, cuando un dispositivo de red se encuentra en comunicación, el dispositivo de red debe obtener la dirección MAC correspondiente a la dirección IP utilizando un protocolo. El protocolo que lleva a cabo la resolución es el ARP.

Para conseguir una conversión de direcciones más rápida, un dispositivo de red con el ARP habilitado siempre adopta la tecnología de almacenamiento temporal de ARP para almacenar temporalmente un cierto número de relaciones de asociación de direcciones en una estructura de tabla local que, en general, se denomina tabla de almacenamiento temporal ARP (tabla ARP para abreviar) . Las entradas ARP del almacenamiento temporal tienen dos orígenes: uno es la generación dinámica de acuerdo con mensajes ARP, lo cual significa que el dispositivo puede aprender la asociación entre una dirección IP y una dirección MAC a partir de una petición ARP o una respuesta ARP para generar una entrada dinámica de almacenamiento temporal del ARP; el otro es una configuración estática manual. Para mantener la validez de las entradas de almacenamiento temporal ARP dinámicas, las entradas dinámicas caducan en un determinado tiempo. Las entradas configuradas de forma estática no caducan. Su incorporación o eliminación depende de operaciones manuales.

El procesamiento del protocolo ARP es complejo. Normalmente, el plano de reenvío recibe un mensaje ARP y reenvía el mensaje al plano de control para su procesamiento. El plano de control genera una entrada de almacenamiento temporal del ARP y envía la entrada a la tabla de almacenamiento temporal de ARP del plano de reenvío. El plano de reenvío utiliza la entrada de almacenamiento temporal del ARP para encapsular y enviar mensajes. En la técnica anterior, el procesamiento ARP proporciona únicamente una asociación simple entre las direcciones de los protocolos de capas más altas y las direcciones físicas de las capas más bajas sin ninguna autenticación de seguridad de dichas asociaciones. En un entorno de red complejo como el acceso a Internet, dicha simplicidad y apertura ofrece oportunidades para ataques de suplantación de direcciones. Al ataque de suplantación ARP está dirigido, generalmente, a hacerse con información privada del usuario. El atacante envía peticiones o respuestas ARP incluyendo asociaciones incorrectas de direcciones para corromper la tabla de almacenamiento temporal de ARP de un dispositivo de red. Como resultado, el dispositivo de red envía paquetes de datos a la dirección física errónea. El dispositivo de red puede ser una pasarela o un servidor, o cualquier otro dispositivo de red. Para defender la tabla de almacenamiento temporal de ARP del dispositivo de red frente a ataques de suplantación de direcciones, la técnica anterior proporciona las siguientes soluciones:

(1) ARP persistente

Después de haber habilitado las características de ARP persistente, una entrada de almacenamiento temporal del ARP aprendida a partir de una petición ARP o una respuesta ARP no se actualiza hasta que la entrada caduca. Después de haber caducado, la entrada de almacenamiento temporal del ARP se elimina y comienza un nuevo proceso de aprendizaje. La solución es simple pero da lugar a un problema. Esto es, una vez que el dispositivo de red genera una entrada de almacenamiento temporal del ARP de acuerdo con un mensaje de ataque de ARP que llega antes que un mensaje ARP legal, el servidor no es capaz de crear una entrada de almacenamiento temporal del ARP correcta en el dispositivo de red, de modo que la utilización del servidor se ve afectada y no se defiende de la suplantación ARP.

(2) Verificación activa

Después de que el dispositivo de red recibe una petición ARP o una respuesta ARP, el dispositivo de red siempre envía una petición ARP a la dirección IP incluida en el mensaje ARP recibido para verificar la asociación de direcciones. Si la dirección no existe, el dispositivo de red no recibe una respuesta ARP desde la dirección IP. Si se suplanta la dirección MAC en la entrada de almacenamiento temporal del ARP correspondiente a la dirección IP, el dispositivo de red recibe una respuesta ARP que incluye una dirección MAC diferente. En cualquier caso, el dispositivo de red se da cuenta de la suplantación y, de este modo, puede llevar a cabo el procesamiento correspondiente. La debilidad de esta solución consiste en que dicha verificación se lleva a cabo sobre mensajes

ARP desde cada dirección IP. Si no se producen ataques de suplantación, la solución provoca un desaprovechamiento de los anchos de banda de red e impacta en el rendimiento de la red.

Para finalizar, la técnica anterior presenta al siguiente problema: las soluciones existentes para defenderse frente a ataques de suplantación ARP carecen de una verificación fiable y efectiva y provocan un desaprovechamiento de anchos de banda de la red e impacta en el rendimiento si no se producen ataques de suplantación.

El documento de Kanamori M y otros: “A Self-confirming Engine For Preventing Man-In-The-Middle-Atack (Una herramienta de autocomprobación para evitar un Ataque Man In The Middle) ” Actas del IEICE sobre la Comunicación, Sociedad de Comunicaciones, Tokio, JP, vol. E87B, núm. 3, 1 de marzo de 2004 (2004-03-01) , páginas 530-538, XP001503188, ISSN: 0916-8516, divulga un tipo de método de acceso no autorizado. De acuerdo con el D1, en ARP, cuando se produce una alteración de un Almacenamiento Intermedio de ARP, el SCE envía una petición ARP como paquete de confirmación a la dirección de la capa de enlace antigua correspondiente al servidor

B. En este caso, se puede comprobar la validez esperando una respuesta ARP. Existen dos situaciones: (1) no se recibe ninguna respuesta ARP: ningún servidor responde a la petición ARP debido a que no existe el servidor con la dirección de la capa de enlace antigua. Esto prueba que la dirección IP se ha asignado a un nuevo servidor. Por lo tanto, es normal la nueva tabla de asociación de direcciones modificada en el servidor A. (2) se recibe una respuesta ARP: el servidor B con la dirección de la capa de enlace antigua recibe nuestra petición ARP. La recepción de una respuesta ARP indica que el servidor B todavía sigue utilizando la misma dirección de la capa de enlace y la misma dirección IP. Esto prueba que el cambio de la tabla de asociación de direcciones en el servidor A es anormal (ver sección 3.2.1, Fig. 6 (I) ) .

El documento de Ilya Teterin “arp spoofing defence (defensa frente a suplantación arp) ” del 15 de noviembre de 2002 (2002-11-15) , páginas 1-1, XP002580036, divulga que: “el núcleo enviará una petición ARP para comprobar si existe un servidor en la dirección MAC “antigua”. Si se recibe dicha respuesta nos permite conocer que una IP pretende tener varias direcciones MAC al mismo tiempo, probablemente provocado por un ataque de suplantación ARP”.

Resumen de la invención La presente invención proporciona un método y un equipo para defenderse frente a ataques de suplantación ARP con el fin de permitir una verificación ARP fiable y efectiva, reducir las interacciones de señalización y preservar recursos de red y está definida mediante la reivindicación 1 independiente del método y la reivindicación 4 independiente del equipo.

Breve descripción de los dibujos La FIG. 1 es un diagrama esquemático de un método proporcionado de acuerdo con un modo de realización de la presente invención;

la FIG. 2 es un diagrama esquemático de una estructura de un equipo proporcionado de acuerdo con un modo de realización de la presente invención; y

la FIG. 3 es un diagrama esquemático que muestra el cambio de estado del indicador de actualización de acuerdo con un modo de realización de la presente invención.

Descripción... [Seguir leyendo]

1. Un método para defenderse frente a ataques de suplantación del Protocolo de resolución de Direcciones, ARP, que comprende:

cuando una entrada ARP es actualizable, comprobar si una dirección del Control de Acceso al Medio (MAC) en 5 un mensaje ARP recibido es la misma que una dirección MAC en la entrada ARP, donde el mensaje ARP tiene la misma dirección del Protocolo de Internet, IP, que la entrada ARP; y

si las direcciones MAC son diferentes, determinar (11) que el mensaje ARP recibido es un mensaje ARP ambiguo e iniciar (12) un proceso de verificación ARP;

en donde el inicio del proceso de verificación ARP comprende:

enviar una petición de verificación ARP a la dirección IP en la entrada ARP;

recibir una respuesta a la verificación ARP procedente de la dirección IP; caracterizado por

realizar una comprobación de la verificación en función de la dirección MAC en la respuesta a la verificación ARP;

en donde la realización de la comprobación de verificación de acuerdo con la dirección MAC en la respuesta a 15 la verificación ARP comprende:

comparar la dirección MAC en la respuesta a la verificación ARP, la dirección MAC en la entrada ARP y la dirección MAC en el mensaje ARP ambiguo;

si la dirección MAC en la respuesta a la verificación ARP es la misma que una de las otras dos direcciones MAC, realizar una comprobación óptima, en donde la comprobación óptima consiste en tomar la entrada ARP que 20 tiene dicha misma dirección MAC como una entrada ARP óptima y bloquear la entrada ARP óptima; y

si la dirección MAC en la respuesta a la verificación ARP es diferente de las otras dos direcciones MAC, mantener la entrada ARP sin realizar una comprobación óptima,

en donde el bloqueo de la entrada ARP óptima comprende:

configurar la entrada ARP óptima para que no se pueda actualizar de modo que la entrada ARP óptima no se 25 actualice antes de que caduque.

2. El método de la reivindicación 1, en el que el inicio del proceso de verificación ARP comprende, además:

configurar la entrada ARP de modo que la entrada únicamente acepte la actualización procedente de una respuesta a la verificación ARP.

3. El método de una cualquiera de las reivindicaciones 1 ó 2, que comprende, además:

establecer un contador con respecto a la entrada ARP y no iniciar un proceso de verificación para la entrada ARP cuando el número de verificaciones ARP alcance un valor de contador especificado dentro de un ciclo de vida de la entrada.

4. Un equipo para defenderse frente a ataques de suplantación del Protocolo de resolución de Direcciones, ARP, que comprende:

una unidad de comprobación de recepción, configurada para: cuando una entrada ARP es actualizable, comprobar si una dirección del Control de Acceso al Medio, MAC, en un mensaje ARP recibido es la misma que una dirección MAC en la entrada ARP, donde el mensaje ARP tiene la misma dirección del Protocolo de Internet, IP, que la entrada ARP, y si las direcciones MAC son diferentes, considerar el mensaje ARP recibido como un mensaje ARP ambiguo y enviar un resultado de la comprobación a una unidad de verificación; y

la unidad de verificación, configurada para: iniciar un proceso de verificación ARP de acuerdo con el resultado de la comprobación procedente de la unidad de comprobación de recepción, enviar una petición de verificación ARP a la dirección IP en la entrada ARP; y

recibir una verificación ARP procedente de la dirección IP, caracterizado por

una unidad de comparación, configurada para comparar la dirección MAC en la respuesta a la verificación 45 ARP, la dirección MAC en la entrada ARP y la dirección MAC en el mensaje ARP ambiguo después de que la unidad de verificación inicie el proceso de verificación ARP;

si la dirección MAC en la respuesta a la verificación ARP es la misma que una de las dos otras direcciones MAC, configurada para realizar una comprobación óptima, en donde la comprobación óptima consiste en tomar la entrada ARP que tiene dicha misma dirección MAC como una entrada ARP óptima; y

si la dirección MAC en la respuesta a la verificación ARP es diferente de las otras dos direcciones MAC, 5 configurada para no realizar una comprobación óptima, y

una unidad de realización de la comprobación, configurada para establecer que la entrada ARP óptima no sea actualizable de tal modo que la entrada ARP óptima no se actualice antes de su caducidad si la unidad de comparación realiza una comprobación óptima; y si la unidad de comparación no realiza una comprobación óptima, configurada para mantener la entrada ARP.

5. El equipo de la reivindicación 4, que comprende, además:

una unidad de control de un contador, configurada para: establecer un contador con respecto a la entrada ARP y cuando el número de verificaciones ARP alcanza un valor de contador especificado dentro de un ciclo de vida de la entrada ARP, controlar que la unidad de verificación no inicie un proceso de verificación para la entrada ARP.