Address Resolution Protocol

Nel mondo di oggi, Address Resolution Protocol è un argomento che ha catturato l'attenzione di più persone in diversi ambiti della società. La sua rilevanza è indiscutibile e le sue implicazioni spaziano dal livello personale a quello globale. Nel corso della storia, Address Resolution Protocol è stato oggetto di dibattito, ricerca e riflessione, generando molteplici prospettive e approcci. In questo articolo esploreremo diversi aspetti legati a Address Resolution Protocol, analizzandone l'impatto, le sfide e le possibili soluzioni proposte. Attraverso un approccio multidisciplinare, cercheremo di comprendere meglio Address Resolution Protocol e le sue implicazioni oggi.

In telecomunicazioni con l'Address Resolution Protocol (ARP), come specificato da RFC 826, si intende un protocollo di rete appartenente alla suite del protocollo internet (IP) versione 4 e operante a livello di accesso alla rete (livello collegamento se si considera nomenclatura ISO/OSI), il cui compito è fornire la "mappatura" tra l'indirizzo IP (32 bit - 4 byte) e l'indirizzo MAC (48 bit - 6 byte) corrispondente di un terminale in una rete locale ethernet. Il suo analogo in IPv6 è Neighbor Discovery Protocol o NDP. Il protocollo inverso che mappa da indirizzo MAC a Indirizzo IP all'atto della configurazione del PC in Rete è detto RARP.

Descrizione

Scopo del protocollo

ARP è un protocollo di servizio, utilizzato in una rete di calcolatori che utilizzi il protocollo di rete IP sopra una rete di livello datalink che supporti il servizio di broadcast. Se questo servizio non è disponibile, come ad esempio in ATM, devono essere utilizzati altri meccanismi.

Per inviare un pacchetto IP ad un calcolatore della stessa sottorete, è necessario incapsularlo in un pacchetto di livello datalink, che dovrà avere come indirizzo destinazione il MAC Address del calcolatore a cui lo si vuole inviare. ARP viene utilizzato per ottenere questo indirizzo.

Se il pacchetto deve essere inviato ad un calcolatore di un'altra sottorete, ARP viene utilizzato per scoprire il MAC Address del gateway o del router.

In ogni calcolatore il protocollo ARP tiene traccia delle risposte precedentemente ottenute in una apposita cache (ARP cache) per evitare di dovere utilizzare continuamente ARP prima di inviare ciascun pacchetto al destinatario (il che comporterebbe un notevole ritardo nelle comunicazioni ed una maggiore complessità nella gestione del traffico). Le informazioni contenute nella cache ARP vengono cancellate dopo un certo periodo dall'ultima occorrenza, tipicamente dopo 5 minuti.

Funzionamento

L'host che vuole conoscere il MAC address di un altro host, di cui conosce l'indirizzo IP, invia in broadcast una richiesta ARP (pacchetto di ARP Request) contenente il proprio indirizzo MAC e l'indirizzo IP del destinatario di cui si vuole conoscere il MAC Address. Tutti i calcolatori della sottorete ricevono la richiesta: in ciascuno di essi il protocollo ARP verifica, confrontando l'IP proprio con quello inviato, se viene richiesto il proprio MAC Address. L'host di destinazione che riconoscerà il proprio indirizzo IP nel pacchetto di ARP-request, provvederà ad inviare una risposta (ARP Reply) contenente il proprio MAC direttamente all'host mittente (quindi in unicast).

In questo modo, ogni host può scoprire l'indirizzo fisico degli altri host sulla stessa sottorete. Questo è particolarmente importante nel caso si vogliano conoscere i dispositivi di rete quali gateway, router, ecc. per verificare eventuali malfunzionamenti di un nodo della rete stessa.

Si noti che l'arrivo dell'ARP-request ad un nodo aggiorna completamente la tabella ARP presente nella cache a lei dedicata dal protocollo, senza rispetto per le voci preesistenti nella tabella di Routing.

Ogni scambio di pacchetti ARP avviene tramite incapsulamento di questi all'interno di frame di livello datalink (ad es. frame Ethernet).

ARP request/reply

Sono incapsulati all'interno di un frame Ethernet.

L'Ethernet destination address viene impostato a ff:ff:ff:ff:ff:ff (broadcast per indirizzi ARP) se viene effettuata un'ARP Request.
Il campo type viene impostato al valore 0x0806 (mentre per il RARP 0x8035).

I 28 byte per l'ARP Request/Reply sono strutturati in questo modo:

  • hardware type: specifica il tipo di interfaccia hardware su cui l'utente cerca una risposta, per l'Ethernet si setta il campo ad 1.
  • protocol type: indica il tipo di indirizzo ad alto livello che il mittente ha fornito, per l'IP si setta a 0x0800.
  • hardware len e protocol len: consentono di usare ARP su reti arbitrarie perché specificano la lunghezza dell'indirizzo hardware (MAC) e dell'indirizzo del protocollo di alto livello (IP).
  • ARP operation: specifica se si tratta di una richiesta ARP (valore 1), risposta ARP (valore 2), richiesta RARP (valore 3) oppure una risposta RARP (valore 4).

Utilizzo

Il comando per visualizzare la tabella arp immagazzinata nella cache locale nei sistemi Windows, Mac e GNU/Linux è arp -a.

Per esempio il comando eseguito su Windows restituirà un risultato simile a questo:

C:\>arp -a
Interfaccia: 10.10.22.156 --- 0x10004
  Indirizzo Internet    Indirizzo fisico      Tipo
  10.10.22.1            00-0d-b4-01-ab-b2     dinamico
  10.10.22.155          00-1b-77-24-74-89     dinamico

Bisogna osservare che il protocollo ARP viene usato tutte le volte che un host collegato ad una LAN deve inviare un messaggio ad un host sulla stessa LAN di cui conosce unicamente l'indirizzo di livello rete (IP), quindi lavora solo in subnet locali (non può oltrepassare router e raggiungere così una sottorete differente da quella dove si è originata la richiesta).

Il procedimento inverso è svolto dal protocollo Reverse Address Resolution Protocol (RARP).

È anche possibile impostare manualmente degli indirizzi IP definiti statici nella tabella ARP, tramite il comando arp -s

Sicurezza

Il protocollo ARP non prevede meccanismi per autenticare le risposte ricevute, quindi l'host che invia una richiesta "si fida" che la risposta arrivi dal "legittimo" proprietario dell'indirizzo IP richiesto, e identifica quell'indirizzo IP con il mac address che ha ricevuto. Questo crea le premesse per numerose vulnerabilità.

IP Spoofing

È molto facile configurare abusivamente un indirizzo IP su un host, purché questo sia collegato alla sottorete giusta, e l'indirizzo sia inutilizzato, oppure il legittimo proprietario sia spento.

Di conseguenza, il fatto che un host risponda ad un certo indirizzo IP non ci autorizza a "fidarci" di quell'host. Significa soltanto che è fisicamente collegato alla rete locale giusta (oppure che anche il routing è stato compromesso).

Nonostante questo, molte applicazioni usano dei criteri di sicurezza basati su filtri (ip filtering) di indirizzi ip utilizzandoli nel meccanismo di autenticazione. Solo certi host che hanno uno specifico indirizzo IP contenuto in un file di filtro possono accedere ai servizi.

ARP Spoofing

La costruzione ad arte di un pacchetto ARP ingannevole è semplice sia su Linux che su Windows, e infatti questa è una tra le maggiori vulnerabilità delle reti locali. Inviando ad un host un ARP REPLY opportunamente contraffatto possiamo modificare la sua cache ARP, ottenendo ad esempio la possibilità di intercettare dati destinati ad altri host. Questa tecnica è detta ARP spoofing o ARP cache Poisoning (in inglese, avvelenamento della cache ARP).

Tra le contromisure una soluzione open source è ArpON "ARP handler inspection". ArpON è un demone portabile che rende il protocollo ARP sicuro contro attacchi Man in The Middle (MITM) attraverso tecniche ARP Spoofing, ARP Cache Poisoning, ARP Poison Routing (APR).

Bibliografia

Voci correlate

Altri progetti

Collegamenti esterni