Baie maatskappye is vandag bekommerd oor die kwessie om die inligtingsekuriteit van hul infrastruktuur te verseker, sommige doen dit op versoek van regulatoriese dokumente, en sommige vanaf die oomblik dat die eerste voorval plaasvind. Onlangse neigings toon dat die aantal voorvalle toeneem, en die aanvalle self raak meer gesofistikeerd. Maar jy hoef nie ver te gaan nie, die gevaar is baie nader. Hierdie keer wil ek graag die onderwerp van ISP-sekuriteit opper. Op Habré is daar plasings waarin hierdie onderwerp op toepassingsvlak bespreek is. Hierdie artikel sal fokus op sekuriteit op die netwerk- en skakelvlakke.
Hoe dit alles begin het
'n Tyd gelede is die woonstel van internet van 'n nuwe verskaffer voorsien, vroeër internetdienste is met ADSL-tegnologie aan die woonstel verskaf. Aangesien ek min tyd by die huis deurbring, was mobiele internet meer in aanvraag as by die huis. Met die oorgang na afgeleë werk het ek besluit dat die spoed van 50-60 Mb / s vir tuisinternet net nie genoeg is nie en het besluit om die spoed te verhoog. Volgens ADSL-tegnologie kan die spoed van meer as 60 Mb/s om tegniese redes nie verhoog word nie. Daar is besluit om oor te skakel na 'n ander verskaffer met 'n ander verklaarde spoed en reeds met die verskaffing van nie-ADSL-dienste.
Kan op een of ander manier anders wees
Ek het die verteenwoordiger van die internetverskaffer gekontak. Die installeerders het gekom, 'n gat in die woonstel geboor, 'n RJ-45-lapkoord ingesit. Hulle het vir my 'n ooreenkoms en instruksies gegee met die netwerkinstellings wat op die router gestel moet word (toegewyde ip, poort, subnetmasker en ip-adresse van hul DNS), het betaling vir die eerste maand van werk geneem en vertrek. Toe ek die netwerkinstellings wat aan my gegee is in my tuisroeteerder ingevoer het, het die internet by die woonstel ingebreek. Die prosedure vir die aanvanklike toetrede tot die netwerk van 'n nuwe intekenaar het vir my te eenvoudig gelyk. Geen aanvanklike magtiging is gemaak nie, en my identifiseerder was die IP-adres wat aan my gegee is. Die internet het vinnig en stabiel gewerk.'n Wifi-roeteerder het in die woonstel gewerk en die verbindingspoed het 'n bietjie deur 'n lasdraende muur gesak. Eendag was dit nodig om 'n lêer van twee dosyn gigagrepe groot te laai. Ek het gedink, hoekom nie die RJ-45 wat na die woonstel gaan direk aan die rekenaar koppel nie.
Ken jou naaste
Nadat ek die hele lêer afgelaai het, het ek besluit om die bure in die skakelsok beter te leer ken.
In woonstelgeboue kom die internetverbinding dikwels van die verskaffer af via optika, gaan die skakelkas in in een van die skakelaars en word versprei tussen ingange, woonstelle via Ethernet-kabels, as ons die mees primitiewe verbindingskema oorweeg. Ja, daar is reeds tegnologie wanneer optika reguit na die woonstel gaan (GPON), maar dit is nog nie so wydverspreid nie.
As ons 'n baie vereenvoudigde topologie op die skaal van een huis neem, dan lyk dit so iets:
Dit blyk dat die kliënte van hierdie verskaffer, sommige naburige woonstelle, in dieselfde plaaslike netwerk op dieselfde skakeltoerusting werk.
Deur luister te aktiveer op 'n koppelvlak wat direk aan die verskaffer se netwerk gekoppel is, kan jy ARP-uitsaaiverkeer sien vlieg vanaf alle gashere op die netwerk.
Die verskaffer het besluit om nie te veel moeite te doen met die verdeling van die netwerk in klein segmente nie, sodat uitsaaiverkeer van 253 gashere binne een skakelaar kon loop, behalwe dié wat afgeskakel is, en sodoende die kanaalbandwydte verstop.
Nadat die netwerk met nmap geskandeer is, is die aantal aktiewe gashere van die hele adrespoel, die sagtewareweergawe en oop poorte van die hoofskakelaar bepaal:
En waar is ARP daar naby en ARP-spoofing
Om verdere aksies uit te voer, is die ettercap-grafiese nut gebruik, daar is meer moderne analoë, maar hierdie sagteware lok met sy primitiewe grafiese koppelvlak en gemak van gebruik.
In die eerste kolom, die IP-adresse van alle routers wat op die ping gereageer het, in die tweede, hul fisiese adresse.
Die fisiese adres is uniek, dit kan gebruik word om inligting oor die geografiese ligging van die router in te samel, ensovoorts, so dit sal binne die raamwerk van hierdie artikel versteek word.
Met teiken 1 voeg ons die verstekpoort by met die adres 192.168.xxx.1, met teiken 2 voeg ons een van die ander adresse by.
Ons stel onsself aan die poort voor as 'n gasheer met die adres 192.168.xxx.204, maar met ons eie MAC-adres. Dan stel ons onsself voor aan die gebruikersrouter as 'n poort met die adres 192.168.xxx.1 met ons eie MAC. Die besonderhede van hierdie ARP-protokolkwesbaarheid word uiteengesit in ander artikels wat maklik gegoogle kan word.
As gevolg van alle manipulasies het ons verkeer van gashere wat deur ons gaan, nadat pakkie-aanstuur geaktiveer is:
Ja, https word reeds byna oral gebruik, maar die netwerk is steeds vol ander onveilige protokolle. Byvoorbeeld, dieselfde DNS met 'n DNS-spoofing-aanval. Die feit dat 'n MITM-aanval moontlik is, gee aanleiding tot baie ander aanvalle. Dinge word erger as daar 'n paar dosyn aktiewe gashere op die netwerk beskikbaar is. Dit is die moeite werd om te oorweeg dat dit 'n private sektor is, nie 'n korporatiewe netwerk nie, en nie almal het beskerming om gepaardgaande aanvalle op te spoor en teë te werk nie.
Hoe om dit te vermy
Die verskaffer moet bekommerd wees oor hierdie probleem, dit is baie maklik om beskerming teen sulke aanvalle op te stel, in die geval van dieselfde Cisco-skakelaar.
Deur Dynamic ARP Inspection (DAI) te aktiveer, sal dit voorkom dat die MAC-adres van die hoofpoort bedrieg word. Die opbreek van die uitsaaidomein in kleiner segmente het ten minste verhoed dat ARP-verkeer na alle gashere in 'n ry versprei en die aantal gashere wat aangeval kan word, verminder. Die kliënt kan homself op sy beurt teen sulke manipulasies beskerm deur 'n VPN direk op sy tuisroeteerder op te stel, die meeste toestelle ondersteun reeds hierdie funksionaliteit.
Bevindinge
Heel waarskynlik gee verskaffers nie hieroor om nie, alle pogings is daarop gemik om die aantal kliënte te verhoog. Hierdie materiaal is nie geskryf om die aanval te demonstreer nie, maar om jou te herinner dat selfs jou verskaffer se netwerk dalk nie baie veilig is vir die oordrag van jou data nie. Ek is seker dat daar baie klein plaaslike internetdiensverskaffers is wat niks meer gedoen het as wat nodig is vir die basiese werking van netwerktoerusting nie.
Bron: will.com