ProHoster > بلوق > إدارة > هجوم ميتم على مقياس مبنى سكني

هجوم ميتم على مقياس مبنى سكني

تهتم العديد من الشركات اليوم بضمان أمن المعلومات للبنية التحتية الخاصة بها، والبعض يفعل ذلك بناءً على طلب المستندات التنظيمية، والبعض يفعل ذلك منذ لحظة وقوع الحادث الأول. وتظهر الاتجاهات الأخيرة أن عدد الحوادث آخذ في التزايد، وأن الهجمات نفسها أصبحت أكثر تعقيدا. لكن ليس عليك أن تذهب بعيداً، فالخطر أقرب بكثير. هذه المرة أود أن أثير موضوع أمان مزود خدمة الإنترنت. هناك منشورات على حبري ناقشت هذا الموضوع على مستوى التطبيق. ستركز هذه المقالة على الأمان على مستوى الشبكة وارتباط البيانات.

كيف بدأ كل شيء

منذ بعض الوقت، تم تركيب الإنترنت في الشقة من مزود جديد، في السابق، تم توصيل خدمات الإنترنت إلى الشقة باستخدام تقنية ADSL. نظرًا لأنني أقضي القليل من الوقت في المنزل، كان الطلب على الإنترنت عبر الهاتف المحمول أكثر من الإنترنت المنزلي. مع الانتقال إلى العمل عن بعد، قررت أن سرعة الإنترنت المنزلي البالغة 50-60 ميجابايت/ثانية ليست كافية وقررت زيادة السرعة. مع تقنية ADSL، ولأسباب فنية، لا يمكن زيادة السرعة فوق 60 ميجابايت/ثانية. تقرر التبديل إلى مزود آخر بسرعة معلنة مختلفة ومع تقديم الخدمات ليس عبر ADSL.

كان من الممكن أن يكون شيئًا مختلفًا

اتصل بممثل مزود الإنترنت. جاء عمال التركيب، وحفروا ثقبًا في الشقة، وقاموا بتركيب سلك التصحيح RJ-45. لقد أعطوني اتفاقًا وتعليمات بشأن إعدادات الشبكة التي يجب ضبطها على جهاز التوجيه (عنوان IP المخصص والبوابة وقناع الشبكة الفرعية وعناوين IP الخاصة بـ DNS الخاص بهم)، وأخذوا الدفع مقابل الشهر الأول من العمل وغادروا. عندما قمت بإدخال إعدادات الشبكة المعطاة لي في جهاز التوجيه المنزلي، انفجر الإنترنت في الشقة. بدا إجراء تسجيل الدخول الأولي للمشترك الجديد إلى الشبكة بسيطًا جدًا بالنسبة لي. لم يتم إجراء أي ترخيص أساسي، وكان المعرف الخاص بي هو عنوان IP الممنوح لي. عمل الإنترنت بسرعة وثبات، وكان هناك جهاز توجيه واي فاي في الشقة ومن خلال الجدار الحامل انخفضت سرعة الاتصال قليلاً. في أحد الأيام، كنت بحاجة إلى تنزيل ملف بحجم عشرين غيغابايت. فكرت، لماذا لا تقوم بتوصيل RJ-45 المتجه إلى الشقة مباشرة بالكمبيوتر.

اعرف جارك

بعد تنزيل الملف بأكمله، قررت التعرف على الجيران في مآخذ التبديل بشكل أفضل.

في المباني السكنية، غالبًا ما يأتي اتصال الإنترنت من المزود عبر الألياف الضوئية، ويدخل إلى خزانة الأسلاك في أحد المحولات ويتم توزيعه بين المداخل والشقق عبر كابلات Ethernet، إذا أخذنا في الاعتبار مخطط الاتصال الأكثر بدائية. نعم، هناك بالفعل تقنية حيث تذهب البصريات مباشرة إلى الشقة (GPON)، لكنها ليست واسعة الانتشار بعد.

إذا أخذنا طوبولوجيا مبسطة جدًا على مقياس منزل واحد، فستبدو كما يلي:

هجوم ميتم على مقياس مبنى سكني

اتضح أن عملاء هذا المزود، بعض الشقق المجاورة، يعملون في نفس الشبكة المحلية على نفس معدات التبديل.

من خلال تمكين الاستماع على واجهة متصلة مباشرة بشبكة الموفر، يمكنك رؤية حركة مرور بث ARP تنطلق من جميع الأجهزة المضيفة على الشبكة.

هجوم ميتم على مقياس مبنى سكني

قرر المزود عدم إزعاج تقسيم الشبكة إلى قطاعات صغيرة، بحيث يمكن أن تتدفق حركة البث من 253 مضيفًا داخل مفتاح واحد، دون حساب تلك التي تم إيقاف تشغيلها، وبالتالي انسداد عرض النطاق الترددي للقناة.

بعد فحص الشبكة باستخدام nmap، حددنا عدد المضيفين النشطين من مجمع العناوين بالكامل، وإصدار البرنامج والمنافذ المفتوحة للمحول الرئيسي:

هجوم ميتم على مقياس مبنى سكني

هجوم ميتم على مقياس مبنى سكني

وأين يوجد ARP وانتحال ARP

لتنفيذ المزيد من الإجراءات، تم استخدام الأداة المساعدة الرسومية Ettercap، وهناك نظائرها أكثر حداثة، ولكن هذا البرنامج يجذب واجهة رسومية بدائية وسهولة الاستخدام.

في العمود الأول توجد عناوين IP لجميع أجهزة التوجيه التي استجابت لاختبار ping، وفي العمود الثاني توجد عناوينها الفعلية.

العنوان الفعلي فريد من نوعه، ويمكن استخدامه لجمع معلومات حول الموقع الجغرافي لجهاز التوجيه وما إلى ذلك، لذلك سيتم إخفاؤه لأغراض هذه المقالة.

هجوم ميتم على مقياس مبنى سكني

يضيف الهدف 1 البوابة الرئيسية بالعنوان 192.168.xxx.1، ويضيف الهدف 2 أحد العناوين الأخرى.

نقدم أنفسنا للبوابة كمضيف بالعنوان 192.168.xxx.204، ولكن بعنوان MAC الخاص بنا. ثم نقدم أنفسنا لجهاز توجيه المستخدم كبوابة بالعنوان 192.168.xxx.1 مع MAC الخاص به. تمت مناقشة تفاصيل ثغرة بروتوكول ARP هذه بالتفصيل في مقالات أخرى يسهل على Google الوصول إليها.

هجوم ميتم على مقياس مبنى سكني

نتيجة لجميع عمليات التلاعب، لدينا حركة مرور من المضيفين التي تمر عبرنا، بعد تمكين إعادة توجيه الحزم مسبقًا:

هجوم ميتم على مقياس مبنى سكني

هجوم ميتم على مقياس مبنى سكني

هجوم ميتم على مقياس مبنى سكني

هجوم ميتم على مقياس مبنى سكني

هجوم ميتم على مقياس مبنى سكني

نعم، يتم استخدام https بالفعل في كل مكان تقريبًا، لكن الشبكة لا تزال مليئة بالبروتوكولات الأخرى غير الآمنة. على سبيل المثال، نفس DNS مع هجوم انتحال DNS. إن حقيقة إمكانية تنفيذ هجوم MITM تؤدي إلى العديد من الهجمات الأخرى. تزداد الأمور سوءًا عندما يكون هناك عشرات من المضيفين النشطين المتاحين على الشبكة. تجدر الإشارة إلى أن هذا هو القطاع الخاص، وليس شبكة الشركات، وليس لدى الجميع تدابير حماية لاكتشاف الهجمات ذات الصلة ومواجهتها.

كيفية تجنب ذلك

يجب أن يهتم الموفر بهذه المشكلة، حيث يعد إعداد الحماية ضد مثل هذه الهجمات أمرًا بسيطًا للغاية، في حالة نفس محول Cisco.

هجوم ميتم على مقياس مبنى سكني

يؤدي تمكين فحص ARP الديناميكي (DAI) إلى منع انتحال عنوان MAC للبوابة الرئيسية. أدى تقسيم مجال البث إلى أجزاء أصغر إلى منع حركة مرور ARP على الأقل من الانتشار إلى جميع المضيفين على التوالي وتقليل عدد المضيفين الذين يمكن مهاجمتهم. ويمكن للعميل بدوره حماية نفسه من مثل هذه التلاعبات عن طريق إعداد VPN مباشرة على جهاز التوجيه المنزلي الخاص به، حيث تدعم معظم الأجهزة هذه الوظيفة بالفعل.

النتائج

على الأرجح، لا يهتم مقدمو الخدمة بهذا، فكل الجهود تهدف إلى زيادة عدد العملاء. لم تتم كتابة هذه المادة لتوضيح الهجوم، ولكن لتذكيرك بأنه حتى شبكة مزود الخدمة الخاص بك قد لا تكون آمنة جدًا لنقل بياناتك. أنا متأكد من أن هناك العديد من مقدمي خدمات الإنترنت الإقليميين الصغار الذين لم يفعلوا شيئًا أكثر مما هو ضروري لتشغيل معدات الشبكة الأساسية.

المصدر: www.habr.com

إضافة تعليق