¿Qué es el protocolo de resolución de direcciones (ARP)?

El protocolo de resolución de direcciones (Address Resolution Protocol, ARP) es un protocolo o procedimiento que conecta una dirección de protocolo de Internet (IP) en constante cambio a una dirección de máquina física fija, también conocida como dirección de control de acceso a medios (media access control, MAC), en una red de área local (local-area network, LAN). 

Este procedimiento de mapeo es importante porque las longitudes de las direcciones IP y MAC difieren, y se necesita una traducción para que los sistemas puedan reconocerse entre sí. La IP más utilizada en la actualidad es la IP versión 4 (IPv4). Una dirección IP tiene 32 bits de longitud, pero las direcciones MAC tienen una longitud de 48 bits. El ARP traduce la dirección de 32 bits a 48 y viceversa.

Existe un modelo de red conocido como el modelo de interconexión de sistemas abiertos (OSI). Desarrollado por primera vez a fines de la década del 70, el modelo OSI utiliza capas para dar a los equipos de TI una visualización de lo que está sucediendo con un sistema de redes en particular. Esto puede ser útil para determinar qué capa afecta a qué aplicación, dispositivo o software instalado en la red y, además, qué profesional de TI o ingeniería es responsable de administrar esa capa. 

La dirección MAC también se conoce como la capa de enlace de datos, que establece y termina una conexión entre dos dispositivos conectados físicamente para que se pueda realizar la transferencia de datos. La dirección IP también se conoce como la capa de red o la capa responsable de reenviar paquetes de datos a través de diferentes enrutadores. El ARP funciona entre estas capas.

Cuando una computadora nueva se une a una LAN, se le asigna una dirección IP única para su identificación y comunicación. 

Los paquetes de datos llegan a una puerta de enlace, destinada a una máquina host en particular. La puerta de enlace, o la parte del hardware de una red que permite que los datos fluyan de una red a otra, le pide al programa ARP que encuentre una dirección MAC que coincida con la dirección IP. La caché del ARP mantiene un registro de cada dirección IP y su dirección MAC coincidente. La caché del ARP es dinámica, pero los usuarios de una red también pueden configurar una tabla ARP estática que contenga direcciones IP y direcciones MAC.

Las cachés del ARP se mantienen en todos los sistemas operativos en una red Ethernet IPv4. Cada vez que un dispositivo solicita una dirección MAC para enviar datos a otro dispositivo conectado a la LAN, el dispositivo verifica su caché de ARP para ver si la conexión de dirección IP a MAC ya quedó completa. Si existe, no hará falta una nueva solicitud. Sin embargo, si la traducción aún no se realizó, se envía la solicitud de direcciones de red y se realiza el ARP.

El tamaño de caché del ARP está limitado por el diseño, y las direcciones tienden a permanecer en la caché solo unos minutos. Se purga regularmente para liberar espacio. Este diseño también está diseñado en función de la privacidad y la seguridad, para evitar que las direcciones IP sean robadas o suplantadas por ciberatacantes. Aunque las direcciones MAC son fijas, las direcciones IP cambian constantemente.

En el proceso de purga, se eliminan las direcciones no utilizadas; ocurre lo mismo con cualquier dato relacionado con los intentos fallidos de comunicación con computadoras no conectadas a la red o que ni siquiera están encendidas.

El ARP es el proceso de conectar una dirección IP dinámica a la dirección MAC de una máquina física. Como tal, es importante analizar algunas tecnologías relacionadas con la IP.

Como se mencionó anteriormente, las direcciones IP, por diseño, están pensadas para que cambien constantemente por el simple motivo de que hacerlo les da a los usuarios seguridad y privacidad. Sin embargo, las direcciones IP no deben ser completamente aleatorias. Debe haber reglas que asignen una dirección IP de un rango definido de números disponibles en una red específica. Esto ayuda a evitar problemas, como que dos computadoras reciban la misma dirección IP. Estas reglas se conocen como DHCP o protocolo de configuración dinámica de host. 

Las direcciones IP como identidades de computadoras son importantes porque son necesarias para realizar una búsqueda en Internet. Cuando los usuarios buscan un nombre de dominio o un localizador uniforme de recursos (Uniform Resource Locator, URL), utilizan un nombre alfabético. Por otra parte, las computadoras utilizan la dirección IP numérica para asociar el nombre de dominio con un servidor. Para conectar los dos, se utiliza un servidor de sistema de nombres de dominio (Domain Name System, DNS) para traducir una dirección IP de una cadena confusa de números a un nombre de dominio más legible y fácil de entender, y viceversa.

El ARP es necesario porque la dirección de software (dirección IP) del host o la computadora conectada a la red debe traducirse a una dirección de hardware (dirección MAC). Sin un ARP, un host no podría determinar la dirección de hardware de otro host. La LAN mantiene una tabla o directorio que asigna las direcciones IP a las direcciones MAC de los diferentes dispositivos, incluidos los puntos finales y los enrutadores de esa red.

A esta tabla o directorio no los mantienen los usuarios, o ni siquiera los administradores de TI. En lugar de eso, el protocolo ARP crea entradas sobre la marcha. Si el dispositivo de un usuario no conoce la dirección de hardware del host de destino, el dispositivo enviará un mensaje a todos los host de la red para solicitar esta dirección. Cuando el host de destino adecuado se entere de la solicitud, responderá con su dirección de hardware, que luego se almacenará en el directorio o la tabla ARP. 

Si el ARP no es compatible, se pueden realizar entradas manuales en este directorio. 

La suplantación de identidad del ARP también se conoce como enrutamiento de veneno de ARP o envenenamiento de caché de ARP. Se trata de un tipo de ataque en el que un delincuente cibernético envía mensajes ARP falsos a una LAN con intención de vincular su dirección MAC con la dirección IP de un dispositivo o servidor legítima dentro de la red. El enlace permite que los datos de la computadora de la víctima se envíen a la computadora del atacante en lugar de al destino original. 

Los ataques de suplantación de identidad de ARP pueden resultar peligrosos, ya que puede transmitirse información confidencial entre computadoras sin que las víctimas lo sepan. La suplantación de identidad (spoofing) de ARP también permite otras formas de ataques cibernéticos, entre los que se incluyen las siguientes:

Un ataque de “hombre en el medio” (man-in-the-middle, MITM) es un tipo de escucha clandestina en la cual el atacante cibernético intercepta, transmite y altera mensajes entre dos partes (que no tienen idea de que un tercero esté involucrado) para robar información. El atacante puede intentar controlar y manipular los mensajes de una de las partes, o de ambas, para obtener información confidencial. Debido a que estos tipos de ataques utilizan un software sofisticado para imitar el estilo y el tono de las conversaciones, incluidas aquellas que se basan en texto y voz, un ataque MITM es difícil de interceptar y frustrar.

Un ataque MITM ocurre cuando se distribuye malware y este toma el control del navegador web de una víctima. El navegador en sí mismo no es importante para el atacante pero los datos que la víctima comparte sí lo son, y mucho, porque pueden incluir nombres de usuario, contraseñas, números de cuenta y otra información confidencial compartida en chats y conversaciones en línea. 

Una vez que tiene el control, el atacante crea un proxy entre la víctima y un sitio legítimo, generalmente con un sitio falso similar, para interceptar cualquier dato entre la víctima y el sitio legítimo. Los atacantes hacen esto con la banca en línea y los sitios de comercio electrónico para capturar información personal y datos financieros. 

Un ataque de denegación de servicio (denial-of-service, DoS) es aquel en el que un atacante cibernético intenta abrumar a los sistemas, servidores y redes con tráfico para evitar que los usuarios accedan a ellos. Un ataque de DoS a gran escala se conoce como ataque de denegación de servicio distribuido (DDoS), donde se utiliza un número mucho mayor de fuentes para inundar un sistema con tráfico.

Estos tipos de ataques explotan vulnerabilidades conocidas en los protocolos de red. Cuando se transmite un gran número de paquetes a una red vulnerable, el servicio puede fácilmente abrumarse y dejar de estar disponible. 

El secuestro de sesión se produce cuando un atacante cibernético roba la ID de sesión de un usuario, toma el control de la sesión web de este y se disfraza de ese usuario. Con el ID de sesión en su poder, el atacante puede realizar cualquier tarea o actividad que el usuario esté autorizado a realizar en esa red. 

La autenticación ocurre cuando un usuario intenta obtener acceso a un sistema o iniciar sesión en un sitio web o servicio web restringido. La ID de la sesión se almacena en una cookie en el navegador, y un atacante involucrado en el secuestro de sesión interceptará el proceso de autenticación e invadirá en tiempo real. 

La solución de control de acceso a la red (network access control, NAC) de Fortinet proporciona visibilidad mejorada en todos los dispositivos de una red para mantenerse al día con el panorama de amenazas en constante evolución. El NAC es parte del modelo de acceso a la red de confianza cero para la seguridad; en este la confianza no es algo dado por hecho para los usuarios, aplicaciones o dispositivos —ya sea que estén conectados a la red o no—, sino que debe establecerse.

Cada dispositivo de una red mantiene una copia de la memoria caché del ARP, y esta memoria se limpia cada pocos minutos. Como tal, todos los dispositivos conectados a esa red deben mantenerse seguros para que los datos importantes, incluidas las direcciones IP, no se vean comprometidos. Para proteger aún más sus dispositivos y servidores de red, los conmutadores de Ethernet LAN de Fortinet protegen la infraestructura de una organización y hasta incluyen una herramienta selectora para identificar el mejor conmutador que cumpla con los requisitos de red.