Qu'est-ce que le protocole de résolution d'adresse (ARP) ?
Le protocole de résolution d'adresse (ARP) traduit les adresses IP en adresses MAC dans les réseaux locaux sans aucun mécanisme d'authentification. Pour envoyer du trafic à une adresse IP sur le même segment réseau, un système a besoin de l'adresse MAC matérielle correspondante pour délivrer le paquet à la couche 2. ARP diffuse une requête demandant « Qui a l'adresse IP X.X.X.X ? » Les systèmes acceptent les réponses de n'importe quel appareil sans vérification, permettant aux attaquants de revendiquer n'importe quelle adresse IP et de rediriger le trafic.
Ce processus se produit automatiquement lorsqu'un système doit communiquer avec un autre appareil sur le réseau local, comme l'accès à des serveurs de fichiers internes ou le routage du trafic via la passerelle par défaut, sauf si l'adresse MAC requise est déjà mise en cache suite à une résolution ARP précédente. La RFC 826, la spécification du protocole de 1982, définit comment ARP résout le décalage fondamental d'adressage entre la couche 3 (couche réseau) et la couche 2 (couche liaison de données).
.jpg)
Comment le protocole de résolution d'adresse est lié à la cybersécurité
ARP ne fournit aucun mécanisme d'authentification, de chiffrement ou de vérification. Cette conception sans confiance permet aux attaquants d'empoisonner les caches ARP sans déclencher de validation au niveau du protocole.
NIST CVE-1999-0667 établit la vulnérabilité fondamentale : « Le protocole ARP permet à tout hôte de falsifier des réponses ARP et d'empoisonner le cache ARP pour effectuer une usurpation d'adresse IP ou un déni de service. » Il ne s'agit pas d'un bug d'implémentation que l'on peut corriger ; la conception du protocole nécessite des contrôles compensatoires.
MITRE ATT&CK Technique T1557 documente que les adversaires ayant accès au réseau manipulent le trafic en temps réel à l'aide d'attaques de type « adversary-in-the-middle » rendues possibles par l'usurpation ARP. Les attaquants qui empoisonnent un cache ARP pour se positionner entre les systèmes contournent complètement les contrôles de sécurité de la couche 3. Les contrôles de la couche 2 comme l'inspection ARP dynamique valident les paquets à la source, tandis que l'analyse comportementale et la surveillance à la couche 3 et au-delà peuvent identifier le vol d'identifiants et le mouvement latéral qui surviennent après une usurpation ARP réussie. La plateforme Singularity de SentinelOne fournit cette corrélation comportementale en reliant les anomalies au niveau réseau aux schémas d'activité sur les endpoints. L'usurpation ARP qui permet le mouvement latéral déclenche Purple AI pour identifier les séquences d'authentification et d'exécution de processus suspectes indiquant une compromission active.
CISA documente les vulnérabilités ARP dans les infrastructures critiques et les systèmes de contrôle industriel, mettant en évidence les risques au-delà des réseaux IT. L'ubiquité du protocole signifie que des opportunités d'exploitation existent partout où les attaquants obtiennent un accès au réseau local, et les contrôles de sécurité de la couche 3 ne peuvent pas arrêter les attaques de la couche 2 au sein du même domaine de diffusion.
Des attaques réelles démontrent ces vulnérabilités au niveau du protocole. Lors de la violation Target de 2013, les attaquants ont exploité l'usurpation ARP pour cartographier le réseau interne et permettre le mouvement latéral après avoir obtenu un accès initial via les identifiants d'un fournisseur CVC. La reconnaissance et le positionnement sur le réseau ont contribué au vol de 40 millions de numéros de cartes bancaires et de 70 millions de dossiers clients, entraînant des coûts totaux de 202 millions de dollars. Lors de l'attaque contre le réseau électrique ukrainien en 2015, des acteurs APT ont utilisé le spear-phishing et la reconnaissance réseau avant de déployer le malware BlackEnergy. L'attaque en plusieurs étapes a affecté 225 000 clients dans trois sociétés de distribution d'énergie, comme documenté dans les rapports ICS-CERT.
Comprendre ces vulnérabilités au niveau du protocole nécessite d'examiner les composants techniques qui permettent la résolution automatique d'adresse par ARP.
Composants clés du protocole de résolution d'adresse
Quatre composants gèrent la résolution ARP, et chacun représente une surface d'attaque potentielle. Les attaquants qui obtiennent un accès au réseau local peuvent manipuler n'importe lequel d'entre eux pour rediriger le trafic :
- Tables de cache ARP : La plupart des appareils réseau IPv4 maintiennent un cache ARP stockant les correspondances récentes IP-MAC, avec des entrées dynamiques apprises à partir des réponses ARP et, sur certains appareils, des entrées statiques pouvant être configurées manuellement.
- Paquets de requête ARP : Un système ayant besoin d'une adresse MAC pour une IP sur le sous-réseau local diffuse une requête ARP contenant l'adresse IP et MAC source, ainsi que l'adresse IP cible recherchée.
- Paquets de réponse ARP : L'appareil possédant l'adresse IP demandée envoie une réponse ARP unicast directement à l'adresse MAC du demandeur contenant l'adresse MAC de la cible, permettant au système demandeur de mettre à jour son cache ARP.
- Domaines de diffusion : L'architecture VLAN définit les domaines de diffusion de la couche 2 où ARP opère, avec des requêtes qui ne traversent pas les routeurs ou les frontières de la couche 3.
Comprendre ces composants vous aide à reconnaître où les attaques d'usurpation ARP interviennent dans le processus de résolution.
Comment fonctionne le protocole de résolution d'adresse
Le processus de résolution suit une séquence prévisible visible dans les captures de paquets.
- Besoins de résolution d'adresse et requête de diffusion : Une application doit communiquer avec 10.1.1.50 sur le sous-réseau local. Le système vérifie d'abord le cache ARP. Si aucune entrée valide n'existe, il diffuse une requête ARP à l'adresse MAC FF:FF:FF:FF:FF:FF demandant « Qui a 10.1.1.50 ? Dites-le à 10.1.1.25 » (l'adresse IP du demandeur).
- Réponse ciblée et population du cache : L'appareil avec l'IP 10.1.1.50 reconnaît son adresse et envoie une réponse ARP unicast contenant « 10.1.1.50 est à l'adresse MAC 00:0c:29:3f:47:8a. » Le système demandeur met à jour son cache ARP avec la nouvelle liaison IP-MAC et poursuit la communication initiale.
- ARP gratuit : Les systèmes envoient également des annonces ARP non sollicitées lors de l'initialisation des interfaces ou du changement d'adresse IP. Les attaquants exploitent ce comportement en envoyant des messages ARP gratuits malveillants pour empoisonner les caches sans attendre de requêtes légitimes.
La résolution automatique offre des avantages opérationnels, mais l'absence d'authentification crée des compromis de sécurité que votre équipe doit gérer.
Principaux avantages du protocole de résolution d'adresse
ARP gère la traduction d'adresses requise par les réseaux IPv4 pour router les paquets entre adresses IP logiques et matériel physique :
- Résolution d'adresse automatique : Les administrateurs n'ont jamais à associer manuellement les adresses IP aux adresses MAC pour des milliers d'appareils. ARP gère cette traduction de manière transparente.
- Adaptation dynamique du réseau : Les changements matériels et les réaffectations d'adresses IP déclenchent ARP pour mettre à jour automatiquement les liaisons sur le réseau.
- Fonctionnalité de routage : Les appareils utilisent ARP pour localiser l'adresse MAC de la passerelle par défaut pour tout trafic hors sous-réseau.
- Performance réseau : La mise en cache ARP évite des diffusions constantes pour chaque paquet, réduisant la surcharge réseau.
Les mêmes propriétés qui rendent ARP automatique le rendent également exploitable.
Défis et limites du protocole de résolution d'adresse
La conception du protocole crée des défis de sécurité et d'exploitation nécessitant une attention particulière. Chaque vulnérabilité découle du manque fondamental d'authentification d'ARP.
Absence totale d'authentification
La RFC 826 spécifie que les appareils acceptent les informations ARP de n'importe quelle source sans validation. Cette conception sans confiance précède les modèles de menace modernes impliquant des menaces internes et le mouvement latéral. Tout appareil sur le réseau local peut revendiquer n'importe quelle adresse IP, et le protocole ne fournit aucun mécanisme pour vérifier la revendication.
Vulnérabilités persistantes dans les architectures modernes
Des recherches IEEE sur les réseaux définis par logiciel confirment que les vulnérabilités ARP persistent même dans les architectures SDN modernes. Le protocole fondamental n'a pas changé malgré des décennies d'évolution de la sécurité. Les environnements virtualisés, les réseaux adjacents au cloud et les infrastructures définies par logiciel héritent tous de ces mêmes faiblesses de la couche 2.
Risques de tempête de diffusion
NIST CVE-2022-27640 documente une exploitation réelle où les appareils concernés gèrent incorrectement un excès de requêtes ARP diffusées. Les attaquants exploitent ce comportement pour créer des conditions de déni de service via des inondations ARP. La disponibilité du réseau se dégrade à mesure que les commutateurs peinent à traiter le flux, masquant potentiellement d'autres activités malveillantes se produisant simultanément.
Périmètre de protection limité
Les pare-feu, les systèmes de prévention d'intrusion et les contrôles d'accès réseau opèrent à la couche 3 et au-delà. ARP fonctionne à la couche 2, de sorte que ces contrôles ne peuvent pas empêcher l'usurpation ARP au sein du même domaine de diffusion. Les attaquants qui accèdent à un seul segment réseau peuvent exécuter une usurpation ARP sans déclencher les défenses périmétriques.
Surface d'attaque d'empoisonnement du cache
Des recherches évaluées par des pairs sur les attaques de type homme du milieu montrent que les attaques MitM-ARP ciblent généralement les services bancaires en ligne ou d'autres services personnels en ligne. L'empoisonnement du cache qui réussit malgré les contrôles préventifs déclenche les plateformes SIEM et les outils d'analyse comportementale pour identifier le vol d'identifiants et le mouvement latéral ultérieurs en analysant les schémas indiquant une compromission.
Des plateformes comme SentinelOne identifient ces schémas post-compromission grâce à une IA comportementale qui reconnaît les authentifications anormales, l'exécution de processus et l'accès aux fichiers après des attaques ARP réussies, permettant une réponse autonome avant que les attaquants n'atteignent leurs objectifs. Même avec ces capacités de détection, des erreurs d'implémentation courantes laissent les réseaux exposés.
Erreurs courantes liées au protocole de résolution d'adresse
Les équipes de sécurité commettent régulièrement des erreurs d'implémentation qui rendent les protections inefficaces. Comprendre ces pièges vous aide à les éviter lors du déploiement.
Oubli de la base DHCP Snooping
Vous activez l'inspection ARP dynamique (DAI) mais oubliez la condition préalable. La documentation de configuration des fournisseurs de commutateurs d'entreprise précise que DAI nécessite que le DHCP snooping soit activé globalement en premier. Sans la base de données de liaisons DHCP snooping, DAI ne peut pas valider les paquets ARP.
Mauvaise configuration des frontières de confiance
Des frontières de confiance mal configurées ne marquent pas les connexions des serveurs DHCP ou les ports de liaison montante comme fiables. Le trafic DHCP légitime est bloqué, provoquant des perturbations réseau et générant de faux positifs.
Appareils à IP statique sans liaisons
DAI est activé pour les adresses attribuées par DHCP tout en négligeant les serveurs, imprimantes et appareils d'infrastructure utilisant des IP statiques. La documentation des commutateurs réseau d'entreprise précise que DAI nécessite des entrées de liaison IP statique pour les appareils non-DHCP. Omettre cette étape fait échouer la validation DAI des appareils à IP statique légitimes et leur fait perdre la connectivité réseau.
Ignorer l'analyse des journaux
DAI fonctionne sans que personne ne surveille les journaux d'événements de sécurité. Les attaques passent inaperçues car personne ne consulte les échecs de validation DAI et les rejets de paquets ARP qui indiquent des tentatives actives d'usurpation ARP.
Les équipes de sécurité qui alimentent les journaux DAI dans leurs plateformes SIEM et les corrèlent avec la télémétrie des endpoints de solutions comme SentinelOne Singularity obtiennent un contexte reliant les attaques de la couche 2 à l'utilisation abusive d'identifiants et au mouvement latéral. Les échecs bruts de validation ARP se transforment en renseignements sur les menaces exploitables avec des capacités de réponse autonome.
Éviter ces erreurs nécessite de suivre les pratiques de déploiement basées sur les standards dans le bon ordre.
Bonnes pratiques pour le protocole de résolution d'adresse
La protection basée sur les standards nécessite des contrôles de sécurité en couches mis en œuvre dans le bon ordre. Les pratiques suivantes traitent les vulnérabilités ARP au niveau du commutateur tout en maintenant la fonctionnalité réseau.
Implémenter correctement l'inspection ARP dynamique
La documentation des fournisseurs de commutateurs réseau d'entreprise confirme que DAI protège les commutateurs contre les attaques d'usurpation et d'empoisonnement ARP en inspectant les paquets ARP sur le LAN et en les validant par rapport aux entrées de la base de données DHCP snooping. Le système valide les paquets ARP par rapport aux liaisons MAC-IP et rejette les paquets invalides arrivant sur des ports non fiables.
Suivre la séquence de configuration requise
La publication spéciale 800-215 du NIST se concentre sur l'accès distant sécurisé et les cadres SASE. La documentation technique officielle des fabricants de commutateurs d'entreprise recommande de configurer d'abord le DHCP snooping, y compris le marquage des ports connectés aux serveurs et des ports de liaison montante comme fiables pour le DHCP. Ensuite, activez l'examen DHCP par VLAN, créez des liaisons IP statiques pour les appareils non-DHCP, puis activez l'inspection ARP dynamique par VLAN, en commençant par des segments de test.
Maintenir les tables de liaisons IP statiques
Chaque serveur, équipement réseau, imprimante et appareil IoT utilisant une adresse IP statique nécessite une entrée de liaison manuelle dans la configuration DAI. Documentez ces appareils lors de la mise en œuvre et mettez à jour les liaisons à chaque changement d'infrastructure.
Configurer la limitation de débit
Définissez des limites de débit appropriées pour les paquets ARP par interface afin de prévenir les attaques par déni de service exploitant le processus d'inspection. Configurez les seuils en fonction des schémas de trafic ARP de base de votre environnement, en suivant les recommandations des fournisseurs qui peuvent suggérer des points de départ tels que 15 paquets par seconde et par interface, mais qui doivent être adaptés à votre réseau.
Segmenter votre architecture réseau
Une segmentation réseau appropriée garantit que les attaques sur un sous-réseau ne peuvent pas impacter les appareils d'autres segments. ARP fonctionne dans les domaines de diffusion, donc la segmentation architecturale limite la propagation des attaques et réduit la surface d'attaque par segment réseau.
Intégrer avec le SIEM pour la surveillance
La documentation des fournisseurs de commutateurs d'entreprise précise que les journaux DAI incluent l'adresse MAC source, le VLAN, l'adresse IP et les horodatages. Alimentez ces journaux dans votre système de gestion des informations et des événements de sécurité pour la corrélation avec d'autres événements de sécurité et l'analyse des schémas indiquant des campagnes d'attaque coordonnées. Les plateformes de sécurité comme SentinelOne Singularity corrèlent les événements de sécurité liés à ARP avec les échecs d'authentification et les indicateurs de mouvement latéral, reliant les attaques de la couche 2 à l'impact métier.
Déployer des contrôles complémentaires de la couche 2
Mettez en œuvre la sécurité des ports pour restreindre les adresses MAC par port physique, configurez BPDU Guard pour prévenir les attaques sur le spanning tree, et activez la limitation de débit DHCP snooping. Ces contrôles fonctionnent avec DAI pour créer une défense en profondeur à la couche liaison de données.
Les contrôles préventifs établissent la base. Identifier les attaques lorsque la prévention échoue complète l'architecture de sécurité.
Stoppez les attaques ARP avec SentinelOne
Les attaquants qui contournent l'inspection ARP dynamique ou opèrent sur des segments réseau sans protections de la couche 2 exposent un manque de visibilité. Votre architecture de sécurité nécessite une corrélation entre les anomalies liées à ARP et le comportement des endpoints. SentinelOne Singularity fournit cette corrélation inter-couches en analysant les événements réseau parallèlement à la télémétrie des endpoints, identifiant le vol d'identifiants, l'escalade de privilèges et le mouvement latéral qui suivent les attaques d'usurpation ARP réussies.
La plateforme Singularity comble l'écart fondamental entre les contrôles réseau de la couche 2 et les outils de sécurité de la couche 3+. DAI fonctionne au niveau du commutateur pour bloquer les paquets ARP falsifiés, mais les attaquants qui réussissent à empoisonner les caches sur des segments non protégés ou pendant la fenêtre précédant le déploiement des contrôles nécessitent une analyse comportementale. Purple AI corrèle les schémas d'authentification inhabituels, l'exécution de processus suspects et l'accès anormal aux fichiers avec les événements de la couche réseau. Une anomalie ARP enregistrée par vos commutateurs est reliée à une utilisation abusive réelle d'identifiants sur vos endpoints.
Purple AI réduit le temps d'investigation lié à ARP en automatisant la corrélation des anomalies réseau avec les schémas d'authentification des endpoints. Au lieu d'analyser manuellement des milliers d'entrées de journaux DAI, Purple AI identifie quels événements liés à ARP ont précédé des comportements de compromission réels : authentification Windows utilisant des hachages NTLM volés, commandes PowerShell de reconnaissance ou accès non autorisé à des partages de fichiers.
Les capacités de réponse autonome de la plateforme stoppent le mouvement latéral quel que soit le vecteur d'attaque initial, en isolant les endpoints compromis, en bloquant les processus suspects et en empêchant l'exfiltration de données avant que les attaquants n'atteignent leurs objectifs. Pour les équipes de sécurité gérant des environnements hybrides avec un déploiement inégal des contrôles de la couche 2, Singularity identifie les comportements post-compromission qui comptent, quelle qu'en soit l'origine. La fatigue d'alerte diminue car la plateforme priorise les événements ayant un impact réel sur l'activité.
Demandez une démonstration SentinelOne pour voir comment Singularity détecte le mouvement latéral basé sur ARP et stoppe le vol d'identifiants avec une réponse autonome.
Cybersécurité alimentée par l'IA
Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.
Obtenir une démonstrationPoints clés à retenir
La conception non authentifiée d'ARP ne changera pas. Votre défense nécessite des contrôles en couches : DHCP snooping et inspection ARP dynamique au niveau du commutateur, segmentation réseau pour contenir les attaques, et analyse comportementale pour détecter ce que la prévention manque.
Déployez les contrôles dans l'ordre, en commençant par le DHCP snooping avant d'activer DAI. Alimentez les journaux DAI dans votre SIEM pour corrélation avec la télémétrie des endpoints. Acceptez que certains segments manqueront de protection et développez des capacités de détection en conséquence. Les vulnérabilités du protocole exigent une sécurité architecturale, pas des correctifs de protocole.
FAQ
Les termes décrivent la même attaque : des messages ARP falsifiés qui écrasent les entrées légitimes du cache. La littérature en sécurité utilise ces termes de manière interchangeable. Les deux exploitent l'absence d'authentification du protocole pour rediriger le trafic en revendiquant de fausses associations adresse IP-adresse MAC.
L'usurpation active génère du trafic ARP que DAI peut intercepter, tandis que l'observation passive de caches empoisonnés nécessite de comparer les entrées actuelles du cache avec des bases de données d'associations connues comme fiables.
L'ARP fonctionne au niveau 2 au sein des domaines de diffusion du réseau local, affectant principalement les réseaux sur site et les réseaux cloud privés. Les réseaux virtuels dans le cloud public utilisent différents mécanismes d'isolation architecturale et des approches de sécurité alternatives.
Cependant, les environnements hybrides couvrant à la fois les architectures sur site et cloud public nécessitent des stratégies de protection adaptées à différents modèles de sécurité, et des attaques dans les segments sur site peuvent permettre l'accès aux ressources cloud si une segmentation réseau appropriée n'est pas maintenue.
L’impact de DAI sur les performances dépend de l’architecture réseau et des modèles de trafic. Les commutateurs managés modernes effectuent l’inspection dans les ASIC matériels avec un impact négligeable. Activez DAI progressivement sur les VLAN, en commençant par les segments critiques, tout en mesurant les taux d’inspection et les métriques CPU pour valider la capacité avant d’étendre le déploiement.
Surveillez le trafic ARP de référence pendant les heures de pointe afin de définir des limites de débit adaptées à votre environnement.
Le déploiement d’IPv6 progresse dans les réseaux d’entreprise, mais la plupart des organisations fonctionnent en environnement double pile, maintenant à la fois IPv4 et IPv6. NIST SP 800-215 recommande que les architectures de sécurité d’entreprise prennent en compte les contrôles de sécurité de couche 2 pour les réseaux IPv4 durant cette période de transition prolongée. Les mécanismes de protection ARP, comme Dynamic ARP Inspection, restent nécessaires.
Les attaquants présents sur le réseau local peuvent empoisonner les caches ARP à l’aide d’outils facilement disponibles en quelques secondes après avoir obtenu l’accès au réseau. RFC 826 et les recherches de l’IEEE confirment que l’attaque ne nécessite aucune exploitation sophistiquée, seulement la capacité d’envoyer des paquets ARP falsifiés sur le domaine de diffusion local.
La vulnérabilité liée à la conception sans confiance du protocole souligne pourquoi les contrôles préventifs de couche 2 sont essentiels à la sécurité ARP.
Les entrées ARP dynamiques sont apprises automatiquement à partir des réponses ARP et expirent après un délai, généralement compris entre 2 et 20 minutes selon le système d’exploitation. Les entrées ARP statiques sont configurées manuellement par les administrateurs et persistent jusqu’à leur suppression explicite.
Les entrées statiques empêchent l’empoisonnement du cache ARP pour les équipements d’infrastructure critiques mais nécessitent une maintenance manuelle lors de changements matériels ou de réaffectation d’adresses IP.
