Módulo 8 – Protocolo de resolución de direcciones

16/03/2022 CyberOps Associate v1.0 Leave a comment

Última actualización: abril 1, 2022

8.0. Introducción

8.0.1. ¿Por qué debería tomar este módulo?

¿Te has preguntado alguna vez cómo se entrega la información que envías al dispositivo correcto? Este módulo explicará cómo la combinación de una dirección lógica y una dirección física permite la comunicación entre dos hosts. Aprenderá cómo se utiliza ARP (Address Resolution Protocol) en una red IPv4 para crear esta asociación. Siga leyendo para aprender cómo funciona el proceso ARP y qué se puede hacer para evitar posibles problemas.

8.0.2. ¿Qué aprenderemos en este módulo?

Título del módulo: Protocolo de resolución de direcciones (ARP)

Objetivo del módulo: Analizar las PDU del protocolo de resolución de direcciones en la red.

Título del tema Objetivo del tema
MAC e IP Compare las funciones de la dirección MAC y de la dirección IP.
ARP Analizar la ARP examinando las tramas de Ethernet.
Problemas de ARP Explicar la forma en que las solicitudes de ARP afectan el rendimiento de la red y del host como un riesgo potencial de seguridad,

8.1. MAC e IP

8.1.1. Destino en la misma red

Hay dos direcciones primarias asignadas a un dispositivo en una LAN Ethernet:

  • Dirección física (dirección MAC)– Se utiliza para comunicaciones de NIC Ethernet a NIC Ethernet en la misma red.
  • Dirección lógica (la dirección IP) – Se utiliza para enviar el paquete desde la fuente original al destino final.

Las direcciones IP se utilizan para identificar la dirección del dispositivo origen y el dispositivo de destino. La dirección IP de destino puede estar en la misma red IP que la fuente o puede estar en una red remota.

Nota: La mayoría de las aplicaciones utilizan el sistema de nombres de dominio (DNS) para determinar la dirección IP cuando se les indica un nombre de dominio, como “www.cisco.com”. El DNS se analiza en un módulo más adelante.

Las direcciones MAC Ethernet, tienen un propósito diferente: se utilizan para distribuir la trama de enlace de datos con el paquete IP encapsulado de una NIC a otra en la misma red. Si la dirección IP de destino está en la misma red, la dirección MAC de destino será la del dispositivo de destino.

En la ilustración, se muestran las direcciones MAC Ethernet y la dirección IP de la PC-A enviando un paquete IP al servidor de archivos en la misma red.

La trama Ethernet de capa 2 contiene lo siguiente:

  • Dirección MAC de destino: es la dirección MAC de la NIC de Ethernet del servidor de archivos.
  • Dirección MAC de origen: es la dirección MAC de la NIC Ethernet de la PC-A.

El paquete IP de capa 3 contiene lo siguiente:

  • Dirección IP de origen: es la dirección IP del origen inicial, la PC-A.
  • Dirección IP de destino: es la dirección IP del destino final, el servidor de archivos.

Comunicación a través de una red local

8.1.2. Destino en una red remota

Cuando la dirección IP de destino está en una red remota, la dirección MAC de destino es la dirección de la puerta de enlace predeterminada del host. La dirección de puerta de enlace predeterminada es la dirección de la NIC del router, como se muestra en la figura. Si utilizamos una analogía de correo postal, esto sería similar a cuando una persona lleva una carta a la oficina postal local. Sólo necesitan dejar la carta en la oficina de correos. . A partir de ese momento, se vuelve responsabilidad de la oficina postal reenviar la carta al destinatario final.

En la ilustración, se muestran las direcciones MAC Ethernet y las direcciones IPv4 de la PC-A enviando un paquete IP al servidor web en una red remota. Los routers examinan la dirección IPv4 de destino para determinar la mejor ruta para reenviar el paquete IPv4. Esto es similar a la manera en que el servicio postal reenvía el correo según la dirección del destinatario.

Cuando el router recibe una trama de Ethernet, desencapsula la información de capa 2. Por medio de la dirección IP de destino, determina el dispositivo del siguiente salto y desencapsula el paquete IP en una nueva trama de enlace de datos para la interfaz de salida. Junto con cada enlace en una ruta, se encapsula un paquete IP en una trama específica para la tecnología de enlace de datos particular relacionada con ese enlace, como Ethernet. Si el dispositivo del siguiente salto es el destino final, la dirección MAC de destino es la de la NIC Ethernet del dispositivo.

¿Cómo se asocian las direcciones IPv4 de los paquetes IPv4 en un flujo de datos con las direcciones MAC en cada enlace a lo largo de la ruta hacia el destino? Esto se realiza mediante un proceso llamado “protocolo de resolución de direcciones (ARP)”.

Comunicación con una red remota

8.2. ARP

8.2.1. Descripción general de ARP

Si su red utiliza el protocolo de comunicaciones IPv4, el protocolo de resolución de direcciones o ARP es lo que necesita para asignar direcciones IPv4 a direcciones MAC. En este tema se explica cómo funciona ARP.

Cada dispositivo IP de una red Ethernet tiene una dirección MAC Ethernet única. Cuando un dispositivo envía una trama de capa 2 de Ethernet, contiene estas dos direcciones:

  • Dirección MAC de destino – La dirección MAC Ethernet del dispositivo de destino en el mismo segmento de red local. Si el host de destino está en otra red, entonces la dirección de destino en el trama sería la del gateway predeterminado (es decir, router).
  • Dirección MAC de origen– La dirección MAC de la NIC de Ethernet en el host de origen.

La figura ilustra el problema al enviar una trama a otro host en el mismo segmento en una red IPv4.

Para enviar un paquete a otro host en la misma red IPv4 local, un host debe conocer la dirección IPv4 y la dirección MAC del dispositivo de destino. Las direcciones IPv4 de destino del dispositivo se conocen o se resuelven por el nombre del dispositivo. Sin embargo, las direcciones MAC deben ser descubiertas.

Un dispositivo utiliza el Protocolo de resolución de direcciones (ARP) para determinar la dirección MAC de destino de un dispositivo local cuando conoce su dirección IPv4.

ARP proporciona dos funciones básicas:

  • Resolución de direcciones IPv4 a direcciones MAC
  • Mantener una tabla de asignaciones de direcciones IPv4 a MAC

8.2.2. Funciones del ARP

Cuando se envía un paquete a la capa de enlace de datos para encapsularlo en una trama de Ethernet, el dispositivo consulta una tabla en su memoria para encontrar la dirección MAC que está asignada a la dirección IPv4. Esta tabla se almacena temporalmente en la memoria RAM y se denomina tabla ARP o caché ARP.

El dispositivo emisor busca en su tabla ARP la dirección IPv4 de destino y la dirección MAC correspondiente.

  • Si la dirección IPv4 de destino del paquete está en la misma red que la dirección IPv4 de origen, el dispositivo busca la dirección IPv4 de destino en la tabla ARP.
  • Si la dirección IPv4 de destino está en una red diferente que la dirección IPv4 de origen, el dispositivo busca la dirección IPv4 del gateway predeterminado.

En ambos casos, se realiza una búsqueda de la dirección IPv4 y la dirección MAC correspondiente para el dispositivo.

En cada entrada o fila de la tabla ARP, se enlaza una dirección IPv4 con una dirección MAC. La relación entre los dos valores se denomina asignación. Esto solamente significa que es posible buscar una dirección IPv4 en la tabla y encontrar la dirección MAC correspondiente. La tabla ARP almacena temporalmente (en caché) la asignación para los dispositivos de la LAN.

Si el dispositivo localiza la dirección IPv4, se utiliza la dirección MAC correspondiente como la dirección MAC de destino de la trama. Si no se encuentra ninguna entrada, el dispositivo envía una solicitud de ARP.

Haga clic en Reproducir en la figura para ver una animación de la función ARP.

8.2.3. Vídeo: Funcionamiento y solicitud de ARP

Se envía una solicitud ARP cuando un dispositivo necesita determinar la dirección MAC que está asociada con una dirección IPv4, y no tiene una entrada para la dirección IPv4 en su tabla ARP.

Los mensajes de ARP se encapsulan directamente dentro de una trama de Ethernet. No se utiliza un encabezado de IPv4. La solicitud de ARP se encapsula en una trama de Ethernet con la siguiente información de encabezado:

  • Dirección MAC de destino– Esta es una dirección broadcast que requiere que todas las NIC Ethernet de la LAN acepten y procesen la solicitud de ARP.
  • Dirección MAC de origen– Esta es la dirección MAC del remitente de la solicitud ARP.
  • Tipo – Los mensajes de ARP tienen un campo de tipo 0x806. Esto informa a la NIC receptora que la porción de datos de la trama se debe enviar al proceso ARP.

Como las solicitudes de ARP son de broadcast, el switch las envía por todos los puertos, excepto el de recepción. Todas las NIC Ethernet de la LAN procesan transmisiones y deben entregar la solicitud ARP a su sistema operativo para su procesamiento. Cada dispositivo debe procesar la solicitud de ARP para ver si la dirección IPv4 objetivo coincide con la suya. Un router no reenvía difusiones por otras interfaces.

Solo un dispositivo de la LAN tiene la dirección IPv4 que coincide con la dirección IPv4 objetivo de la solicitud de ARP. Todos los demás dispositivos no envían una respuesta.

Haga clic en Reproducir para ver una demostración de una solicitud de ARP para una dirección IPv4 de destino que está en la red local.

8.2.4. Vídeo – Funcionamiento de ARP – Respuesta de ARP

Solo el dispositivo con la dirección IPv4 de destino asociada con la solicitud ARP responderá con una respuesta ARP. La respuesta ARP se encapsula en una trama de Ethernet con la siguiente información de encabezado:

  • Dirección MAC de destino– Es la dirección MAC del remitente de la solicitud de ARP.
  • Dirección MAC de origen– Esta es la dirección MAC del remitente de la respuesta ARP.
  • Tipo – Los mensajes de ARP tienen un campo de tipo 0x806. Esto informa a la NIC receptora que la porción de datos de la trama se debe enviar al proceso ARP.

Sólo el dispositivo que envió originalmente la solicitud ARP recibirá la respuesta ARP unicast. Una vez que recibe la respuesta de ARP, el dispositivo agrega la dirección IPv4 y la dirección MAC correspondiente a su tabla ARP. A partir de ese momento, los paquetes destinados para esa dirección IPv4 se pueden encapsular en las tramas con su dirección MAC correspondiente.

Si ningún dispositivo responde a la solicitud de ARP, el paquete se descarta porque no se puede crear una trama.

Las entradas de la tabla ARP tienen marcas de tiempo. Si un dispositivo no recibe una trama de un dispositivo en particular antes de que caduque la marca de tiempo, la entrada para este dispositivo se elimina de la tabla ARP.

Además, se pueden introducir entradas estáticas de asignaciones en una tabla ARP, pero esto no sucede con frecuencia. Las entradas estáticas de la tabla ARP no caducan con el tiempo y se deben eliminar de forma manual.

Nota: IPv6 utiliza un proceso similar al ARP para IPv4 llamado “detección de vecinos (ND ) ICMPv6”. El protocolo IPv6 utiliza mensajes de solicitud de vecino y de anuncio de vecino similares a las solicitudes y respuestas ARP de IPv4.

Haga clic en Reproducir en la ilustración para ver una demostración de una respuesta de ARP.

8.2.5. Vídeo: Función de ARP en la comunicación remota

Cuando la dirección IPv4 de destino no está en la misma red que la dirección IPv4 de origen, el dispositivo de origen debe enviar la trama a la puerta de enlace predeterminada. Esta es la interfaz del enrutador local. Cuando un dispositivo de origen tiene un paquete con una dirección IPv4 de otra red, lo encapsula en una trama con la dirección MAC de destino del router.

La dirección IPv4 de la puerta de enlace predeterminada se almacena en la configuración IPv4 de los hosts. Cuando un host crea un paquete para un destino, compara la dirección IPv4 de destino con la propia para determinar si ambas están ubicadas en la misma red de capa 3. Si el host de destino no está en la misma red, el origen busca en la tabla ARP una entrada que contenga la dirección IPv4 de la puerta de enlace predeterminada. Si no existe una entrada, utiliza el proceso ARP para determinar la dirección MAC de la puerta de enlace predeterminada.

Haga clic en reproducir para ver una demostración de una solicitud de ARP y una respuesta de ARP asociadas con la puerta de enlace predeterminada.

8.2.6. Eliminación de entradas de una tabla ARP

Para cada dispositivo, un temporizador de memoria caché ARP elimina las entradas de ARP que no se hayan utilizado durante un período especificado. Los tiempos varían según el sistema operativo del dispositivo. Por ejemplo, los sistemas operativos Windows más recientes almacenan entradas de tabla ARP entre 15 y 45 segundos, como se ilustra en la figura.

Los comandos también se pueden usar para eliminar manualmente algunas o todas las entradas de la tabla ARP. Después de eliminar una entrada, el proceso de envío de una solicitud de ARP y de recepción de una respuesta de ARP debe ocurrir nuevamente para que se introduzca la asignación en la tabla ARP.

8.2.7. Tablas ARP en dispositivos de red

En un router Cisco, el comando show ip arp se utiliza para mostrar la tabla ARP, como se muestra en la figura.

R1# show ip arp 
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.10.1            -   a0e0.af0d.e140  ARPA   GigabitEthernet0/0/0
Internet  209.165.200.225         -   a0e0.af0d.e141  ARPA   GigabitEthernet0/0/1
Internet  209.165.200.226         1   a03d.6fe1.9d91  ARPA   GigabitEthernet0/0/1
R1#

En una PC con Windows 10, el comando arp –a se usa para mostrar la tabla ARP, como se muestra en la figura.

C:\Users\PC> arp -a
Interface: 192.168.1.124 --- 0x10
  Internet Address      Physical Address      Type
  192.168.1.1           c8-d7-19-cc-a0-86     dynamic
  192.168.1.101         08-3e-0c-f5-f7-77     dynamic
  192.168.1.110         08-3e-0c-f5-f7-56     dynamic
  192.168.1.112         ac-b3-13-4a-bd-d0     dynamic
  192.168.1.117         08-3e-0c-f5-f7-5c     dynamic
  192.168.1.126         24-77-03-45-5d-c4     dynamic
  192.168.1.146         94-57-a5-0c-5b-02     dynamic
  192.168.1.255         ff-ff-ff-ff-ff-ff     static
  224.0.0.22            01-00-5e-00-00-16     static
  224.0.0.251           01-00-5e-00-00-fb     static
  239.255.255.250       01-00-5e-7f-ff-fa     static
  255.255.255.255       ff-ff-ff-ff-ff-ff     static
C:\Users\PC>

8.2.8. Práctica de laboratorio: Uso de Wireshark para examinar las tramas de Ethernet

En este laboratorio, utilizará Wireshark para capturar y ver tramas Ethernet con el fin de investigar ARP y direcciones IP y MAC. Además, capturará y analizará tramas ICMP.

8.3. Problemas de ARP

8.3.1. Problemas de ARP – Difusión ARP y suplantación ARP

Todos los dispositivos de la red local reciben y procesan una solicitud de ARP debido a que es una trama de difusión. En una red comercial típica, estas difusiones tendrían, probablemente, un efecto mínimo en el rendimiento de la red. Sin embargo, si se encendiera una gran cantidad de dispositivos que comenzaran a acceder a los servicios de red al mismo tiempo, el rendimiento podría disminuir durante un breve período, como se muestra en la figura. Después que los dispositivos envían las solicitudes de difusión ARP iniciales y obtienen las direcciones MAC necesarias, se minimiza cualquier efecto en la red.

En algunos casos, el uso de ARP puede conducir a un riesgo potencial de seguridad. Un atacante puede usar la suplantación ARP para realizar un ataque de envenenamiento ARP. Esta es una técnica utilizada por un atacante para responder a una solicitud de ARP de una dirección IPv4 que pertenece a otro dispositivo, como la puerta de enlace predeterminada, tal como se muestra en la ilustración. El atacante envía una respuesta de ARP con su propia dirección MAC. El receptor de la respuesta de ARP agrega la dirección MAC incorrecta a la tabla ARP y envía estos paquetes al atacante. Los switches de nivel empresarial incluyen técnicas de mitigación conocidas como “inspección dinámica de ARP (DAI)”. DAI está más allá del alcance de este curso.

8.3.2. Vídeo – Suplantación ARP

Haga clic en reproducir para ver un video sobre ARP Spoofing.

8.4. Resumen del Protocolo de Resolución de Direcciones

8.4.1. ¿Qué aprendí en este módulo?

MAC e IP

Hay dos direcciones principales que se asignan a un dispositivo en una LAN Ethernet; la dirección IP, que se asigna lógicamente, y la dirección MAC que está asignada físicamente y es única para la interfaz de red. Las direcciones IP se utilizan para identificar la dirección del dispositivo de origen inicial y el dispositivo de destino final. La dirección IP de destino puede estar en la misma red IP que la de origen o en una red remota. Las direcciones de capa 2, o físicas, como las direcciones MAC Ethernet, tienen un propósito diferente: se utilizan para distribuir la trama de enlace de datos con el paquete IP encapsulado de una NIC a otra en la misma red. Si la dirección IP de destino está en la misma red, la dirección MAC de destino es la del dispositivo de destino.

ARP

Cuando se utiliza IPv4 para las comunicaciones de red, se utiliza ARP para asignar la dirección IPv4 lógica con la dirección MAC de capa 2. Para crear una trama Ethernet, se debe conocer la dirección MAC de destino. Cuando la dirección IPv4 de destino está en la misma red que el origen, el proceso ARP envía la dirección IPv4 a todos los hosts de la red para que el host con la dirección IPv4 coincidente pueda responder con la dirección MAC correspondiente. El dispositivo de envío ahora tiene toda la información necesaria para construir la trama Ethernet de Capa 2. ARP proporciona dos funciones básicas: resolver direcciones IPv4 a direcciones MAC y mantener una tabla de asignaciones de direcciones IPv4 a MAC. El dispositivo emisor busca en su tabla ARP la dirección IPv4 de destino y la dirección MAC correspondiente. Si la dirección IPv4 de destino del paquete está en la misma red que la dirección IPv4 de origen, el dispositivo busca la dirección IPv4 de destino en la tabla ARP. Si no tiene una entrada para la dirección IPv4 en su tabla ARP, el dispositivo de envío envía una solicitud ARP para determinar la dirección MAC de destino. Sólo el dispositivo con la dirección IPv4 de destino asociada con la solicitud ARP responderá con una respuesta ARP. La respuesta ARP se encapsula en una trama Ethernet utilizando la siguiente información de encabezado: la dirección MAC de destino del host solicitante, la dirección MAC de origen del host que responde y el tipo, que es un código que identifica los datos pertenecientes al proceso ARP. Los mensajes ARP tienen un valor del campo de «tipo» de 0x806. Si la dirección IPv4 de destino está en una red diferente que la dirección IPv4 de origen, el dispositivo busca la dirección IPv4 del gateway predeterminado. IPv6 utiliza un proceso similar a ARP en IPv4. Se conoce como ICMPv6 Neighbor Discovery (ND). IPv6 utiliza mensajes de solicitud de vecino y de anuncio de vecino similares a las solicitudes y respuestas de ARP de IPv4.

Problemas de ARP

Todos los dispositivos de la red local reciben y procesan una solicitud de ARP debido a que es una trama de difusión. En una red comercial típica, estas difusiones tendrían, probablemente, un efecto mínimo en el rendimiento de la red. Si se encendiera una gran cantidad de dispositivos que comenzaran a acceder a los servicios de red al mismo tiempo, el rendimiento podría disminuir durante un breve período de tiempo. Después de que los dispositivos envían las difusiones ARP iniciales y obtienen las direcciones MAC necesarias, se minimiza cualquier efecto en la red. Dado que la solicitud ARP es una transmisión o disfusión, hay posibles riesgos de seguridad impuestos. Un actor de amenaza puede usar la suplantación de ARP para realizar un ataque de envenenamiento de ARP respondiendo a una solicitud ARP para una dirección IPv4 que pertenece a otro dispositivo, como la puerta de enlace predeterminada. El receptor de la respuesta de ARP agrega la dirección MAC incorrecta a la tabla ARP y envía estos paquetes al atacante.

 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax