O que é o protocolo de resolução de endereço (ARP)?

O protocolo de resolução de endereço (ARP) é um protocolo ou procedimento que conecta um endereço de protocolo de internet (IP) em constante mudança a um endereço de máquina físico fixo, também conhecido como endereço de controle de acesso a mídia (MAC), em uma rede local (LAN). 

Este procedimento de mapeamento é importante porque os comprimentos dos endereços IP e MAC diferem, e uma conversão é necessária para que os sistemas possam reconhecer uns aos outros. O IP mais usado hoje é o IP versão 4 (IPv4 Um endereço IP tem 32 bits. No entanto, os endereços MAC têm 48 bits de comprimento. O ARP converte o endereço de 32 bit em um de 48 e vice-versa.

Há um modelo de rede conhecido como modelo de Interconexão de sistemas abertos (OSI). Desenvolvido pela primeira vez no final da década 1970s, o modelo OSI usa camadas para dar às equipes de TI uma visualização do que está acontecendo com um sistema de rede específico. Isso pode ser útil para determinar qual camada afeta qual aplicativo, dispositivo ou software instalado na rede e, além disso, qual profissional de TI ou engenharia é responsável por gerenciar essa camada. 

O endereço MAC também é conhecido como camada de link de dados, que estabelece e encerra uma conexão entre dois dispositivos fisicamente conectados para que a transferência de dados possa ocorrer. O endereço IP também é chamado de camada de rede ou camada responsável pelo encaminhamento de pacotes de dados através de diferentes roteadores. O ARP funciona entre essas camadas.

Quando um novo computador entra em uma LAN, lhe é atribuído um endereço IP exclusivo para uso na identificação e comunicação. 

Pacotes de dados chegam a um gateway, destinados a uma máquina host específica. O gateway, ou o hardware em uma rede que permite que os dados fluam de uma rede para outra, solicita que o programa ARP encontre um endereço MAC que corresponda ao endereço IP. O cache ARP mantém um registro de cada endereço IP e seu endereço MAC correspondente. O cache ARP é dinâmico, mas os usuários em uma rede também podem configurar uma tabela ARP estática contendo endereços IP e endereços MAC.

Os caches ARP são mantidos em todos os sistemas operacionais em uma rede Ethernet IPv4 Sempre que um dispositivo solicita um endereço MAC para enviar dados para outro dispositivo conectado à LAN, o dispositivo verifica seu cache ARP para ver se a conexão do endereço IP ao MAC já foi concluída. Se ela existir, será desnecessário fazer uma nova solicitação. No entanto, se a conversão ainda não tiver sido realizada, a solicitação de endereços de rede será enviada e o ARP será executado.

O tamanho de cache do ARP é limitado por design, e os endereços tendem a permanecer no cache por apenas alguns minutos. Ele é purgado regularmente para liberar espaço. Este design também é destinado à privacidade e segurança para evitar que endereços IP sejam roubados ou falsificados durante ciberataques. Enquanto os endereços MAC são fixos, os endereços IP mudam constantemente.

No processo de limpeza, os endereços não utilizados são excluídos, assim como quaisquer dados relacionados a tentativas malsucedidas de comunicação com computadores não conectados à rede ou que não estejam ligados.

O ARP é o processo de conexão de um endereço IP dinâmico a um endereço MAC de uma máquina física. Sendo assim, é importante analisar algumas tecnologias relacionadas à IP.

Como mencionado anteriormente, os endereços IP, por design, têm a intenção de mudar constantemente pela simples razão de que isso dá segurança e privacidade aos usuários. No entanto, os endereços IP não devem ser completamente aleatórios. Deve haver regras que alocam um endereço IP a partir de um intervalo definido de números disponíveis em uma rede específica. Isso ajuda a evitar problemas, como dois computadores recebendo o mesmo endereço IP. As regras são conhecidas como DHCP ou protocolo de configuração dinâmica de host. 

Os endereços IP como identidades para computadores são importantes porque são necessários para realizar uma pesquisa na internet. Quando os usuários pesquisam um nome de domínio ou um URL, eles usam um nome alfabético. Os computadores, por outro lado, usam o endereço IP numérico para associar o nome de domínio a um servidor. Para conectar os dois, é usado um servidor Domain Name System (DNS) para converter o endereço IP de uma sequência de números confusa em um nome de domínio mais legível e facilmente compreensível e vice-versa.

O ARP é necessário porque o endereço de software (endereço IP) do host ou computador conectado à rede precisa ser traduzido para um endereço de hardware (endereço MAC). Sem o ARP, um host não poderia descobrir o endereço de hardware de outro host. A LAN mantém uma tabela ou diretório que mapeia endereços IP para endereços MAC dos diferentes dispositivos, incluindo terminais e roteadores nessa rede.

Essa tabela ou diretório não é mantida pelos usuários, nem mesmo pelos administradores de TI. Em vez disso, o protocolo ARP cria entradas instantaneamente. Se o dispositivo de um usuário não souber o endereço de hardware do host de destino, o dispositivo enviará uma mensagem para cada host na rede solicitando esse endereço. Quando o host de destino apropriado souber da solicitação, ele responderá com seu endereço de hardware, que será armazenado no diretório ou tabela ARP. 

Se o ARP não for suportado, podem ser feitas entradas manuais neste diretório. 

A falsificação de ARP também é conhecida como roteamento de veneno de ARP ou envenenamento de cache de ARP. Esse é um tipo de ataque no qual um criminoso cibernético envia mensagens ARP falsas para uma LAN com a intenção de vincular seu endereço MAC ao endereço IP de um dispositivo ou servidor legítimo da rede. O link permite que os dados do computador da vítima sejam enviados para o computador do atacante, em vez do destino original. 

Os ataques de falsificação de ARP podem ser perigosos, pois informações confidenciais podem ser transmitidas entre computadores sem o conhecimento das vítimas. A falsificação de ARP também permite outras formas de ataques cibernéticos, incluindo o seguinte:

Um ataque man-in-the-middle (MITM) é um tipo de espionagem na qual o atacante cibernético intercepta, transmite e altera mensagens entre duas partes — que não têm ideia de que um terceiro está envolvido — para roubar informações. O invasor pode tentar controlar e manipular as mensagens de uma das partes, ou de ambas, para obter informações confidenciais. Como esse tipo de ataque usa software sofisticado para imitar o estilo e o tom das conversas, incluindo aqueles baseados em texto e voz, um ataque MITM é difícil de interceptar e frustrar.

Um ataque MITM ocorre quando o malware é distribuído e assume o controle do navegador da web de uma vítima. O navegador em si não é importante para o atacante, mas os dados que a vítima compartilha, sim, porque podem incluir nomes de usuário, senhas, números de contas e outras informações confidenciais compartilhadas em bate-papos e discussões on-line. 

Uma vez que tem controle, o invasor cria um proxy entre a vítima e um site legítimo, geralmente um site falso parecido, para interceptar quaisquer dados entre a vítima e o site legítimo. Os invasores fazem isso com sites de comércio eletrônico e serviços bancários on-line para capturar informações pessoais e dados financeiros. 

Um ataque de negação de serviço (DoS) é aquele em que um criminoso cibernético tenta sobrecarregar sistemas, servidores e redes com tráfego para impedir que os usuários os acessem. Um ataque de DoS de maior escala é conhecido como um ataque de negação de serviço distribuído (DDoS), onde um número muito maior de fontes é usado para inundar um sistema com tráfego.

Esse tipo de ataque explora vulnerabilidades conhecidas em protocolos de rede. Quando um grande número de pacotes é transmitido para uma rede vulnerável, o serviço pode facilmente ficar sobrecarregado e, em seguida, indisponível. 

O sequestro de sessão ocorre quando um criminoso cibernético rouba o ID de sessão de um usuário, assume a sessão da web desse usuário e se disfarça como ele. De posse do ID da sessão, o invasor pode executar qualquer tarefa ou atividade que o usuário esteja autorizado a fazer nessa rede. 

A autenticação ocorre quando o usuário tenta obter acesso a um sistema ou entrar em um site ou serviço da Web restrito. O ID da sessão é armazenado em um cookie no navegador, e o invasor envolvido no sequestro de sessão interceptará o processo de autenticação e invadirá em tempo real. 

Descubra como a solução Fortinet NAC oferece visibilidade aprimorada em toda a rede para acompanhar o cenário de ameaças em constante evolução. A NAC faz parte do modelo de acesso à rede confiança zero para segurança, no qual os usuários, aplicativos ou dispositivos, conectados ou não à rede, não são confiáveis até que sua segurança seja estabelecida.

Cada dispositivo em uma rede mantém uma cópia do cache de ARP, e o cache é limpo a cada poucos minutos. Como tal, todos os dispositivos conectados a essa rede devem ser mantidos em segurança para que dados importantes, incluindo endereços IP, não sejam comprometidos. Para proteger ainda mais seus dispositivos e servidores de rede, os switches de Ethernet LAN da Fortinet protegem a infraestrutura de uma organização e incluem até mesmo uma ferramenta seletora para identificar o melhor switch para atender aos requisitos de rede.