Fundamentos de Redes: ARP Spoofing, Capa de Enlace y Codificación Ethernet

ARP Spoofing: Entendiendo y Mitigando Ataques

¿ARP Spoofing? Es un tipo de ataque en el que un actor malicioso envía mensajes ARP falsificados a una red local. El objetivo es asociar la dirección MAC del atacante con la dirección IP de otro host (como la puerta de enlace predeterminada), causando que el tráfico dirigido a esa IP sea enviado al atacante en su lugar. El texto original menciona que se inunda la tabla ARP de los PCs para saturarla; si bien se envían muchos paquetes ARP, el mecanismo principal es la suplantación de direcciones, no solo la saturación. Una vez que la tabla ARP de una víctima contiene la entrada falsa, el PC no podrá comunicarse de forma segura y directa con el host suplantado, pudiendo dar lugar a ataques Man-in-the-Middle (MitM). Para evitar esto, una medida efectiva es utilizar entradas ARP estáticas en los dispositivos críticos.

El Protocolo ARP en TCP/IP

El conjunto de protocolos TCP/IP incluye un protocolo fundamental denominado ARP (Address Resolution Protocol), que puede detectar automáticamente la dirección MAC (Media Access Control) asociada a una dirección IP específica en la red local. ARP permite que un equipo descubra la dirección física (MAC) del ordenador asociado con una dirección lógica (IP). Cuando se hace ping a otra máquina en la misma red local, su correspondencia IP-MAC se agrega dinámicamente a la tabla de caché ARP del equipo emisor. ¿Cómo se garantiza la entrada del gateway (puerta de enlace)? Una forma segura es configurando una entrada estática.

Direccionamiento IP

Direcciones Reservadas IPv4

Existen rangos de direcciones IP reservados para propósitos específicos:

• Hosts IPv4 (Unicast): de 0.0.0.0 a 223.255.255.255 (excluyendo rangos especiales como red, broadcast, loopback y privados).
• Multicast: de 224.0.0.0 a 239.255.255.255.
• Experimentales: de 240.0.0.0 a 255.255.255.254.

Direcciones Privadas IPv4

Estos rangos están definidos para uso en redes internas y no son enrutables en la Internet pública:

• 10.0.0.0 a 10.255.255.255 (Bloque /8)
• 172.16.0.0 a 172.31.255.255 (Bloque /12)
• 192.168.0.0 a 192.168.255.255 (Bloque /16)

Tipos de Cables de Red Ethernet

• Se utiliza CABLE CRUZADO (Crossover) para conectar dispositivos iguales: router con router, switch con switch, hub con hub, o PC con PC (conexión directa sin switch/hub).
• Se utiliza CABLE DIRECTO (Straight-through) para conectar dispositivos diferentes: PC a switch/hub, router a switch/hub.

Capa de Enlace de Datos (Capa 2 OSI)

La Capa de Enlace de Datos permite a las capas superiores (como la Capa de Red) acceder a los medios físicos utilizando técnicas como el entramado (framing). Implementa el control de acceso a los medios y la detección de errores para colocar los datos en el medio de forma fiable.

NODO: Es la notación utilizada en la Capa 2 para referirse a los dispositivos de red conectados a un medio común.

Formateo de Datos para la Transmisión (Trama)

La estructura básica de una trama en la Capa 2 es:

[Encabezado] - [Paquete (Datos)] - [Tráiler]

• Encabezado: Contiene información de control como: inicio de trama, direccionamiento (MAC origen y destino), tipo de protocolo de capa superior, control.
• Paquete: Los datos encapsulados desde la capa superior (Capa 3).
• Tráiler: Contiene campos para la detección de errores (ej. CRC) y la marca de fin de trama.

Subcapas de la Capa de Enlace de Datos

La capa de enlace de datos se divide conceptualmente en dos subcapas, especialmente en el contexto de las redes LAN (según el estándar IEEE 802):

• Subcapa Superior (LLC - Logical Link Control): Define procesos de software que proveen servicios a la capa de red. Maneja la comunicación entre la capa de red y la subcapa MAC.
• Subcapa Inferior (MAC - Media Access Control): Define los procesos de acceso a los medios realizados por el hardware. Gestiona el direccionamiento físico (MAC) y el control de acceso al medio físico.

Subcapas Comunes en LAN

• LLC (Control de Enlace Lógico): Identifica el protocolo de Capa 3 y encapsula sus datos.
• MAC (Control de Acceso al Medio): Gestiona el acceso al medio físico (cable, fibra, aire).

Control de Acceso al Medio (MAC)

Existen dos métodos básicos de control de acceso al medio para medios compartidos:

• Controlado: Cada nodo tiene su propio tiempo asignado para utilizar el medio (ej. Token Ring). Es determinista.
• Basado en la Contención: Todos los nodos compiten por el uso del medio. Si dos nodos transmiten a la vez, ocurre una colisión (ej. Ethernet clásico). Es no determinista.

Métodos Basados en Contención

• CSMA/CD (Carrier Sense Multiple Access with Collision Detection): Usado por Ethernet clásico (half-duplex). Los nodos escuchan el medio antes de transmitir (Carrier Sense). Si el medio está libre, transmiten. Si detectan una colisión mientras transmiten (Collision Detection), detienen la transmisión, esperan un tiempo aleatorio (backoff) y vuelven a intentarlo. Solo un dispositivo transmite a la vez; los demás esperan.
• CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance): Usado por tecnologías inalámbricas IEEE 802.11 (Wi-Fi). Intenta *evitar* las colisiones en lugar de solo detectarlas. Antes de transmitir datos, puede enviar una señal corta (ej. RTS/CTS) para indicar la intención de enviar y reservar el medio, reduciendo la probabilidad de colisión, que es más difícil de detectar en medios inalámbricos.

Control de Acceso al Medio en Medios No Compartidos (Punto a Punto)

• Full-Duplex: Una estación puede recibir y transmitir simultáneamente sin colisiones. Esto es posible en conexiones conmutadas (switch) donde cada puerto tiene un dominio de colisión separado o en enlaces punto a punto dedicados.
• Half-Duplex: Una estación solo puede transmitir o recibir en un momento dado. Si una transmite, la otra debe esperar para transmitir.

Codificación y Señalización

Codificación NRZ (Non-Return-to-Zero)

NRZ (No Retorno a Cero): Es un sistema de señalización muy simple donde, por ejemplo, un 1 lógico se representa con un nivel de voltaje alto y un 0 lógico con un nivel de voltaje bajo. La tensión no necesita volver a cero entre bits consecutivos.

Desventajas:

• Una larga cadena de 1s o 0s puede hacer que el emisor y el receptor pierdan la sincronización del reloj con el paso del tiempo (componente DC y falta de transiciones).
• Es relativamente ineficaz en el uso del ancho de banda y susceptible a la interferencia.
• NRZ simple no se usa directamente en Ethernet moderno, pero es la base para otras técnicas de codificación más avanzadas.

Codificación Manchester

La Codificación Manchester se caracteriza por tener siempre una transición (cambio de nivel de tensión) en el centro de cada período de bit. Esta transición se usa tanto para representar el dato como para la sincronización del reloj.

• Por ejemplo, un 1 puede ser una transición de bajo a alto en el centro del bit, y un 0 una transición de alto a bajo (o viceversa, según la convención).
• La transición es lo que importa, no el nivel de tensión absoluto al inicio o fin del bit.
• El cambio de tensión constante en el centro de cada período de bit permite a los hosts mantener la sincronización (recuperación del reloj).
• Ethernet de 10 Mbps (ej. 10BASE-T sobre UTP, 10BASE-5, 10BASE-2 sobre coaxial) utiliza codificación Manchester.
• No es suficientemente eficiente para alcanzar las altas velocidades de Ethernet moderno debido a que requiere el doble de ancho de banda (tasa de baudios) que la tasa de bits.

Ethernet de 100 Mbps y superiores utilizan esquemas de codificación más rápidos y eficientes, como la conversión de señales y la agrupación y codificación de bits. Estos métodos, aunque pueden introducir cierta sobrecarga, ofrecen ventajas significativas:

• Minimizan la energía necesaria y el ancho de banda espectral.
• Permiten una mejor detección de errores mediante códigos inválidos.
• Facilitan el control de la sincronización.
• Aseguran que los delimitadores de inicio y fin de trama no se confundan con los datos.

Codificación en Ethernet 100 Mbps

• 100BASE-TX (sobre UTP): Utiliza una codificación en dos pasos: primero 4B/5B (convierte grupos de 4 bits de datos en símbolos de 5 bits para asegurar transiciones y evitar secuencias largas sin cambios) y luego MLT-3 (Multi-Level Transmit, 3 levels) para poner los bits en el cable como niveles de tensión (+V, 0, -V), reduciendo el ancho de banda necesario en comparación con Manchester. La lógica específica de MLT-3 es: si el siguiente bit es 1, cambia al siguiente nivel de voltaje en la secuencia (+V -> 0 -> -V -> 0 -> +V...); si el siguiente bit es 0, el nivel de voltaje no cambia.
• 100BASE-FX (sobre Fibra Óptica): También utiliza codificación 4B/5B, pero seguida de NRZI (Non-Return-to-Zero Inverted) para la transmisión sobre fibra.