Dynamic ARP Inspection ¿Qué es y para qué sirve?

En diferentes ocasiones hemos presentado la importancia de protegernos de los ataques cibernéticos, además de presentarte alternativas para la protección de tu centro de datos. 

Hoy vamos a profundizar más en la protección de tu red interna, aquí es donde aparece la funcionalidad de Dynamic ARP Inspection.

Referencia: https://www.okta.com/uk/identity-101/arp-poisoning/
Referencia: https://www.okta.com/uk/identity-101/arp-poisoning/

¿Qué es?

Primero que nada, hay que saber ¿qué es ARP? ARP es un protocolo de resolución de direcciones, el cual crea un tabla dinámica donde asocia la IP de los dispositivos con su dirección MAC.

Dynamic ARP Inspection o DAI, es una característica que provee seguridad a la red inspeccionando dinámicamente la resolución de direcciones a nivel de capa de enlace (capa 2 del modelo OSI). Esta opción puede ser activada ya sea en un switch o un router.

¿Para qué sirve?

Uno de los objetivos de DAI (Dynamic ARP Inspection) es prevenir los ataques Man in the Middle, los cuales buscan penetrar la red ya sea por medio de un puerto abierto, puertos espejos, físicamente conectados a un nodo de la organización que se encuentre desconectado, etc., de tal manera que puedan captar el tráfico que pasa por la red.

La manera en que funciona DAI es marcando puertos de los equipos (routers o switches) como no confiables o también conocidos como untrusted, al conectar un dispositivo a dicho puerto, DAI comenzará a analizar el tráfico de entrada y sus peticiones, sin embargo, antes de responderlas comparará contra la tabla ARP previamente definida (donde se encuentran las MACs e IPs confiables) si las direcciones se encuentran en la tabla se responderán dichas peticiones, de otra manera el puerto del dispositivo se bloqueará y no se permitirá el paso de tráfico.

Ataques que previene

Anteriormente se mencionó que es funcional para ataques como Man in the Middle, sin embargo, también son funcionales en contra de ataques ARP spoofing.

Referencia: https://www.okta.com/uk/identity-101/arp-poisoning/

Este tipo de ataques tiene como objetivo alterar las tablas ARP y así poder entrar a nuestra red organizacional, con lo cual puede extraer información confidencial, implantar algún software malicioso, robar contraseñas, básicamente vulnerar nuestra organización.

Probablemente aunque este es un tipo de ataque no tan sofisticado, es importante que conozcamos este tipo de información y saber la manera en que podemos protegernos y proteger la información de la organización, de tal manera que sepamos sus debilidades y vulnerabilidades.

Ir arriba