Prctica de laboratorio 9.8.

1: Address Resolution Protocol (ARP)

Diagrama de topologa

Interfaz Direccin IP Mscara

Tabla de direccionamiento

Objetivos de aprendizaje
Al completar esta prctica de laboratorio, usted podr: Usar el comando arp de Windows. Utilizar Wireshark para examinar los intercambios ARP.

Informacin bsica
TCP/IP utiliza el Address Resolution Protocol (ARP) para asignar una direccin IP de Capa 3 a una direccin MAC de Capa 2. Cuando se coloca una trama en la red, debe tener una direccin MAC de destino. Para descubrir dinmicamente la direccin MAC al dispositivo de destino, se transmite una solicitud de ARP en la LAN. El dispositivo que tiene la direccin IP de destino responde y la direccin MAC es registrada en la cach ARP. Todos los dispositivos en la LAN tienen su propia cach ARP o un rea ms pequea en la RAM que conserva los resultados ARP. Un temporizador de cach de ARP elimina las entradas ARP que no se hayan utilizado durante un determinado perodo de tiempo. El tiempo vara segn el dispositivo. Por ejemplo, algunos sistemas operativos de Windows almacenan las entradas de cach de ARP durante 2 minutos. Si la entrada se utiliza nuevamente durante ese tiempo, el temporizador ARP para esa entrada se extiende a 10 minutos. ARP es un excelente ejemplo del equilibrio del rendimiento. Sin cach, ARP debe solicitar continuamente traducciones de direcciones cada vez que se coloca una trama en la red. Esto agrega latencia a la comunicacin y podra congestionar la LAN. Por el contrario, los tiempos de espera ilimitados podran provocar errores con dispositivos que dejan la red o cambiar la direccin de la Capa 3. Un ingeniero de redes debe estar al tanto del ARP, pero es posible que no interacte con el protocolo regularmente. El ARP es un protocolo que permite que los dispositivos de la red se comuniquen con el protocolo TCP/IP. Sin ARP, no hay un mtodo eficiente para construir el datagrama de la direccin de destino de Capa 2. Pero tambin representa un riesgo para la seguridad. El spoofing de ARP, tambin conocido como ARP poisoning, es una tcnica que utilizan los atacantes para introducir la asociacin de la direccin MAC incorrecta en una red. El individuo falsifica la direccin MAC de un dispositivo y las tramas se envan a la direccin equivocada. Una manera de evitar el ARP spoofing es configurar asociaciones de ARP estticas manualmente. Por ltimo, se puede configurar una lista de direcciones MAC autorizadas en los dispositivos Cisco para restringir el acceso slo a los dispositivos aprobados.

Escenario
Con un equipo de computadora host del mdulo, utilice el comando utilitario de Windows arp para evaluar y cambiar las entradas de cach del ARP. En la Tarea 2 se emplea Wireshark para capturar y analizar el intercambio ARP entre los dispositivos de la red. Si no se carg Wireshark en la computadora host del mdulo, lo puede descargar desde el URL ftp://eagleserver.example.com/pub/eagle_labs/eagle1/chapter9/, archivo wireshark-setup-0.99.4.exe.

Tarea 1: Uso del comando arp de Windows.

Paso 1: Acceder al terminal de Windows.

1. Abra un terminal de Windows haciendo clic en Inicio> Ejecutar. Ingrese: cmd y haga clic en Aceptar. Sin opciones, el comando arp muestra la informacin de ayuda til. Vea la Figura 1. 2. Emita el comando arp en el equipo de la computadora host y examine el resultado.

3. Responda las siguientes preguntas sobre el comando arp: Qu comando se usara para mostrar las entradas en la cach de ARP? R/: ARP a

Qu comando se usara para eliminar todas las entradas de la cach ARP (purgar la cach ARP)? R/: ARP d * Qu comando se usara para eliminar la entrada de la cach ARP para 172.16.255.254? R/: para este ejercicio eliminamos el registro con la direccin 224.0.0.22, con el comando: ARP d Direccin IP del host

Paso 2: Usar el comando arp para examinar la cach ARP local. C:\> arp -a No se encontraron entradas de ARP C:\>

Figura 2. Cach ARP vaca Si no se cuenta con comunicacin de red, la cach de ARP debe estar vaca. Esto se muestra en la Figura 2. Ejecute el comando para mostrar las entradas de ARP. Cules son los resultados? R/: Se hace el ejercicio, se apaga la NIC inalmbrica, se desconecta el cable de red y se invoca el comando ARP a, los resultados se muestran a continuacin en la imagen siguiente:

Paso 3: Usar el comando ping para agregar de manera dinmica entradas en la cach ARP. El comando ping se utiliza para verificar la conectividad de la red. Al acceder a otros dispositivos, las asociaciones de ARP se agregan de manera dinmica a la cach ARP.

1. Utilice el comando ipconfig /all para verificar la informacin de la Capa 2 y la Capa 3 de la computadora host del mdulo.

2. Emita el comando ping hacia otra computadora host del mdulo, como se muestra en la Figura 3. En la Figura 4 se muestra la nueva entrada de cach de ARP.

Nueva entrada al ARP del host 192.168.1.65:

Cmo se agreg la entrada ARP a la cach de ARP? Ayuda: revise la columna Tipo. R/: La entrada ARP se agreg a la cach de forma dinmica; esto se hizo despus de que se hiciera el ping a la red tratando de establecer comunicacin con otro host, al host devolver la respuesta de comunicacin al ping hecho por el dispositivo que inicio la comunicacin, esta respuesta tiene la informacin de la direccin MAC que pertenece al dispositivo que responde. Cul es la direccin fsica de la computadora host del mdulo de destino? R/: La direccin MAC del dispositivo de destino es la 68:ed:43:4f:ae:b0 Direccin IP 192.168.1.65 Direccin fsica 68:ed:43:4f:ae:b0 De qu manera se obtuvo? Se obtuvo de manera dinmica. Cuando se hizo el ping a la red tratando de establecer comunicacin con el host de direccin192.168.1.65, este host al devolver la respuesta de comunicacin al ping, enva la informacin de la direccin MAC que pertenece al dispositivo que responde.

No enve trfico a la computadora a la que accedi previamente. Espere entre 2 y 3 minutos y verifique nuevamente la cach de ARP. Se elimin la entrada de cach de ARP? R/: La entrada ARP al host 192.168.1.65, ya no existe.

Emitir el comando ping al Gateway, R2-Central. Examine la entrada de cach de ARP. Cul es la direccin fsica del Gateway? Como no estamos conectados al escenario que propone el laboratorio, vamos a utilizar la siguiente informacin de la interfaz de red que estamos utilizando para hacer el ejercicio, para es te caso la direccin de Gateway ser: 192.168.1.254

Direccin IP 192.168.1.254

Direccin fsica 00:26:44:1e:5f:8a

De qu manera se obtuvo? Se obtuvo de manera dinmica.

Emita el comando ping a Eagle Server, eagle-server.example.com. Examine la entrada de cach de ARP. Cul es la direccin fsica de Eagle Server? R/: Durante este curso CCNA1, como el servidor Eagle Server ya no est disponible, se mont un servidor propio Windows Server 2008, cuya direccin IP es la 192.168.10.3:

MAC: 00:0c:29:7f:54:6 Paso 4: Ajustar las entradas de cach de ARP manualmente. Para eliminar las entradas en la cach ARP, emita el comando arp d {inet-addr | *}. Las direcciones se pueden eliminar de manera individual al especificar la direccin IP, o bien todas juntas con el wildcard *. Verifique que la cach ARP contenga dos entradas: una para el Gateway y otra para la computadora host de destino del mdulo. Puede resultar ms fcil hacer ping en ambos dispositivos ms de una vez; de esta manera se retiene la entrada a cach durante 10 minutos aproximadamente.

Consulte la Figura 5, donde se muestra cmo eliminar manualmente una entrada a cach ARP. 1. En la computadora, primero verifique que estn las dos entradas. Si no estn, haga ping en la entrada faltante.

2. A continuacin, elimine la entrada de la computadora host del mdulo.

3. Por ltimo, verifique el cambio que realiz.

4. Registre las dos entradas en la cach ARP. Direccin IP 192.168.1.65 192.168.1.254 Direccin fsica 68:ed:43:4f:ae:b0 00:26:44:1e:5f:8a De qu manera se obtuvo? Se obtuvo de manera dinmica. Se obtuvo de manera dinmica.

5. Escriba el comando que sirve para eliminar la entrada de la computadora host del mdulo: R/: el comando que sirve para eliminar la entrada de la computadora host es ARP d IP del host. 6. Emita el comando en la computadora host del mdulo. Registre la entrada en la cach ARP restante: Direccin IP Direccin fsica De qu manera se obtuvo? 192.168.1.254 00:26:44:1e:5f:8a Se obtuvo de manera dinmica. 7. Simule que elimina todas las entradas. Escriba el comando que sirve para eliminar todas las entradas de la cach ARP: R/:

8. Emita el comando en la computadora host del mdulo y examine la cach ARP con el comando arp -a. Todas las entradas deben haber sido eliminadas.

9. Considere un entorno seguro donde el Gateway controla el acceso al servidor Web que contiene informacin confidencial. Cul es la capa de seguridad que se puede aplicar a las entradas de la cach ARP que ayudara a contrarrestar el ARP spoofing? R/: Este control se hara a nivel de capa fsica, en el protocolo Ethernet, haciendo un filtrado de equipos por MAC, permitiendo que solo los equipos que tengan su MAC registrada puedan acceder a la red. 10. Escriba el comando que sirve para agregar una entrada ARP esttica en la cach ARP para el Gateway: R/: El comando para agregar una entrada ARP esttica es: ARP s IP PC MAC PC

11. Examine la cach ARP nuevamente y complete la siguiente tabla: Direccin IP Direccin fsica Tipo 192.168.1.254 0e:23:df:21:ca:11 esttica 192.168.10.3 00:0c:29:7f:54:6a dinmica

En la siguiente tarea, se utiliza Wireshark para capturar y examinar el intercambio ARP. No cierre el terminal de Windows: lo usar para ver la cach ARP.

Tarea 2: Utilizar Wireshark para examinar los intercambios ARP.

Paso 1: Configurar Wireshark para las capturas de paquetes. Prepare Wireshark para las capturas. 1. Haga clic en Captura > Opciones. 2. Seleccione la interfaz que corresponda a la LAN. 3. Marque la casilla para Actualizar la lista de paquetes en tiempo real. 4. Haga clic en Inicio. Con esta accin se inicia la captura de paquetes.

Paso 2: Preparar la computadora host del mdulo para las capturas de ARP. 1. Si an no lo hizo, abra una ventana del terminal de Windows haciendo clic en Inicio > Ejecutar. Ingrese: cmd y haga clic en Aceptar. 2. Purgue la cach ARP, que requiere que el ARP vuelva a descubrir los mapas de direcciones. Escriba el comando que utiliz: R/: para eliminar los registros de la tabla ARP, se utiliza el comando ARP d*

Paso 3: Capturar y evaluar la comunicacin del ARP. En este paso se enva una solicitud de ping al Gateway y otra solicitud de ping a Eagle Server. Luego la captura de Wireshark se detiene y se evala la comunicacin ARP. 1. Enve una solicitud de ping al Gateway, con el comando ping n 1 172.16.255.254. 2. Enve una solicitud de ping a Eagle Server, con el comando ping n 1.192,168.254,254.

Figura 6. Captura Wireshark de la comunicacin ARP

3. Detenga Wireshark y evale la comunicacin. Debe ver una pantalla de Wireshark similar a la que se muestra en la Figura 6. En la ventana que contiene la lista de paquetes de Wireshark se muestra la cantidad de paquetes capturados. En la ventana de detalles del paquete se muestra el contenido del protocolo ARP. 4. A partir de la captura de Wireshark, responda las siguientes preguntas: Cul fue el primer paquete de ARP? Paquete de broadcast preguntando por una direccin IP

Cul fue el segundo paquete de ARP? Paquete de broadcast preguntando por una direccin IP

Complete la siguiente taba con informacin sobre el primer paquete de ARP: Campo Valor Direccin MAC del emisor 00:26:44:1e:5f:8a Direccin IP del emisor 192.168.1.254 Direccin MAC de destino ff:ff:ff:ff:ff:ff Direccin IP de destino 192.168.1.255 Complete la siguiente tabla con informacin sobre el segundo paquete de ARP: Campo Valor Direccin MAC del emisor 00:26:44:1e:5f:8a Direccin IP del emisor 192.168.1.254 Direccin MAC de destino ff:ff:ff:ff:ff:ff Direccin IP de destino 192.168.1.255 Si la trama de Ethernet II de una solicitud ARP es un broadcast, por qu la direccin MAC contiene slo 0? R/: Porque la solicitud se enva a todos los hosts. Por qu no hubo una solicitud ARP para el ping a Eagle Server?

R/: No hubo una solicitud ARP para el servidor, porque esta direccin est escrita en la tabla de hosts en el mismo pc y es una entrada de tipo esttica.
Por cunto tiempo se debe guardar la asignacin del gateway en la cach ARP en la computadora host del mdulo? Por qu? R/: La asignacin del Gateway se debe mantener siempre, ya que esta entrada ayuda a agilizar la comunicacin con la red.

Tarea 3: Reflexin
El protocolo ARP asigna direcciones IP de Capa 3 a las direcciones MAC de Capa 2. Si un paquete se debe mover por las redes, la direccin MAC de Capa 2 cambia con cada salto que hace en el router, pero la direccin de Capa 3 nunca cambia.

En la cach de ARP se guardan las asignaciones de las direcciones de ARP. Si se obtuvo la entrada de manera dinmica, eventualmente se eliminar de la cach. Si se insert de forma manual en la cach de ARP, se trata de una entrada esttica que permanecer en la computadora hasta que se apague o se purgue manualmente la cach ARP.

Tarea 4: Desafo
Con recursos externos, realice una bsqueda sobre ARP spoofing. Analice las distintas tcnicas que se utilizan para contrarrestar este tipo de ataque. La mayora de los routers inalmbricos admiten acceso inalmbrico a las redes. Con esta tcnica, las direcciones MAC que tienen acceso permitido a la red inalmbrica se agregan manualmente al router inalmbrico. Utilizando recursos externos, evale las ventajas de configurar un acceso a la red inalmbrica. Debata las maneras en que se puede violar esta seguridad. El ARP Spoofing, tambin conocido como ARP Poison Routing o ARP Poisoning , es una tcnica usada para infiltrarse en una red ethernet basada en switches y no en hubs, que puede permitir al atacante leer paquetes de datos en la LAN, modificar el trfico, o incluso detenerlo. Tcnicas contra ARP Spoofing: 1. Uso de tablas ARP estticas, es decir aadir entradas estticas ARP, de forma que no existe cach dinmica, cada entrada de la tabla mapea una direccin MAC con su correspondiente direccin IP. No es muy prctica para redes de gran tamao, por la administracin. 2. DHCP snooping: ell dispositivo de red por medio del DHCP mantiene un registro de las direcciones MAC que estn conectadas a cada puerto, de modo que rpidamente detecta si se recibe una suplantacin ARP. 3. Utilizar software que detecta ataques de ARP Spoofing, como Arpwatch de Unix que escucha respuestas ARP en la red, y enva una notificacin va correo electrnico al administrador de la red, cuando una entrada ARP cambia.

Tarea 5: Limpieza
Se instal Wireshark en la computadora host del mdulo. Si debe desinstalarlo, haga clic en Inicio > Panel de control. Abra Agregar o quitar programas. Marque Wireshark y haga clic en Quitar. Elimine todos los archivos creados durante la prctica de laboratorio en la computadora host del mdulo. A menos que el instructor le indique lo contrario, apague las computadoras host. Llvese todo aquello que haya trado al laboratorio y deje el aula lista para la prxima clase.