Bu gün bir çox şirkətlər öz infrastrukturlarının informasiya təhlükəsizliyini təmin etməkdən narahatdırlar, bəziləri bunu normativ sənədlərin tələbi ilə, bəziləri isə ilk insident baş verdiyi andan edir. Son tendensiyalar göstərir ki, insidentlərin sayı artır və hücumların özləri daha da mürəkkəbləşir. Ancaq uzağa getməyə ehtiyac yoxdur, təhlükə daha yaxındır. Bu dəfə İnternet provayderinin təhlükəsizliyi mövzusunu qaldırmaq istərdim. Habré-də bu mövzunu tətbiq səviyyəsində müzakirə edən yazılar var. Bu məqalə şəbəkə və məlumat bağlantısı səviyyələrində təhlükəsizliyə diqqət yetirəcəkdir.
Bütün bunlar necə başladı
Bir müddət əvvəl mənzilə yeni provayderdən internet quraşdırılıb, əvvəllər ADSL texnologiyası ilə mənzilə internet xidmətləri göstərilirdi. Evdə az vaxt keçirdiyim üçün mobil internet ev internetindən daha çox tələb olunurdu. Uzaqdan işə keçidlə ev İnterneti üçün 50-60 Mb/s sürətin sadəcə kifayət etmədiyinə qərar verdim və sürəti artırmaq qərarına gəldim. ADSL texnologiyası ilə texniki səbəblərdən sürəti 60 Mb/s-dən yuxarı qaldırmaq mümkün deyil. Fərqli elan edilmiş sürətə malik və ADSL ilə deyil, xidmət göstərən başqa provayderə keçmək qərara alınıb.
Fərqli bir şey ola bilərdi
İnternet provayderinin nümayəndəsi ilə əlaqə saxladı. Quraşdırıcılar gəldilər, mənzildə bir deşik qazdılar və RJ-45 yamaq şnurunu quraşdırdılar. Mənə marşrutlaşdırıcıda təyin edilməli olan şəbəkə parametrləri ilə razılaşma və təlimat verdilər (təsdiq edilmiş IP, şlüz, alt şəbəkə maskası və DNS-lərinin IP ünvanları), işin ilk ayının ödənişini götürdülər və getdilər. Mənə verilən şəbəkə parametrlərini ev routerimə daxil edəndə internet mənzilə daxil oldu. Yeni abunəçinin şəbəkəyə ilkin giriş proseduru mənə çox sadə göründü. Heç bir əsas icazə verilmədi və identifikator mənə verilən IP ünvanı idi. İnternet tez və stabil işləyir.Mənzildə wifi router var idi və yükdaşıyan divardan keçid sürəti bir az aşağı düşdü. Bir gün mənə iki onlarla gigabaytlıq bir fayl yükləməli oldum. Fikirləşdim ki, niyə mənzilə gedən RJ-45-i birbaşa PC-yə qoşmayaq.
Qonşunu tanı
Bütün faylı yüklədikdən sonra keçid rozetkalarındakı qonşuları daha yaxşı tanımağa qərar verdim.
Mənzil binalarında İnternet bağlantısı tez-tez provayderdən optik lif vasitəsilə gəlir, məftil şkafına keçidlərdən birinə daxil olur və ən primitiv əlaqə diaqramını nəzərə alsaq, Ethernet kabelləri vasitəsilə girişlər və mənzillər arasında paylanır. Bəli, optikanın birbaşa mənzilə (GPON) getdiyi bir texnologiya artıq var, lakin bu hələ geniş yayılmayıb.
Bir evin miqyasında çox sadələşdirilmiş topologiyanı götürsək, bu belə görünür:
Belə çıxır ki, bu provayderin müştəriləri, bəzi qonşu mənzillər eyni kommutasiya avadanlıqlarında eyni lokal şəbəkədə işləyirlər.
Birbaşa provayderin şəbəkəsinə qoşulmuş interfeysdə dinləməni aktivləşdirməklə siz şəbəkədəki bütün hostlardan uçan yayım ARP trafikini görə bilərsiniz.
Provayder şəbəkəni kiçik seqmentlərə bölməklə çox narahat olmamaq qərarına gəldi, buna görə də 253 hostdan gələn yayım trafiki söndürülənləri saymadan bir keçid daxilində axına bildi və bununla da kanalın genişliyini bağladı.
Nmap istifadə edərək şəbəkəni skan etdikdən sonra bütün ünvan hovuzundan aktiv hostların sayını, proqram versiyasını və əsas keçidin açıq portlarını təyin etdik:
Və orada ARP haradadır və ARP saxtakarlığı
Sonrakı hərəkətləri həyata keçirmək üçün ettercap-qrafik yardım proqramından istifadə edildi, daha müasir analoqlar da var, lakin bu proqram ibtidai qrafik interfeysi və istifadə rahatlığı ilə diqqəti cəlb edir.
Birinci sütunda pingə cavab verən bütün marşrutlaşdırıcıların IP ünvanları, ikincidə onların fiziki ünvanları var.
Fiziki ünvan unikaldır, o, marşrutlaşdırıcının coğrafi yeri və s. haqqında məlumat toplamaq üçün istifadə edilə bilər, ona görə də bu məqalənin məqsədləri üçün gizlədiləcəkdir.
Məqsəd 1 192.168.xxx.1 ünvanı ilə əsas şlüz əlavə edir, məqsəd 2 digər ünvanlardan birini əlavə edir.
Biz özümüzü şlüzdə 192.168.xxx.204 ünvanlı, lakin öz MAC ünvanımızla host kimi təqdim edirik. Sonra özümüzü istifadəçi marşrutlaşdırıcısına MAC ilə 192.168.xxx.1 ünvanlı bir şlüz kimi təqdim edirik. Bu ARP protokol zəifliyinin təfərrüatları Google üçün asan olan digər məqalələrdə ətraflı müzakirə olunur.
Bütün manipulyasiyalar nəticəsində, əvvəllər paket yönləndirməsini aktivləşdirərək, bizdən keçən hostlardan trafikimiz var:
Bəli, https artıq demək olar ki, hər yerdə istifadə olunur, lakin şəbəkə hələ də digər təminatsız protokollarla doludur. Məsələn, DNS-spoofing hücumu ilə eyni DNS. MITM hücumunun həyata keçirilə bilməsi bir çox başqa hücumlara səbəb olur. Şəbəkədə bir neçə onlarla aktiv host olduqda işlər daha da pisləşir. Nəzərə almaq lazımdır ki, bu, korporativ şəbəkə deyil, özəl sektordur və hər kəsin əlaqəli hücumları aşkar etmək və onlara qarşı mübarizə aparmaq üçün qoruma tədbirləri yoxdur.
Bunun qarşısını necə almaq olar
Provayder bu problemdən narahat olmalıdır; eyni Cisco keçidi vəziyyətində bu cür hücumlardan qorunma qurmaq çox sadədir.
Dinamik ARP Təftişinin (DAI) aktivləşdirilməsi əsas şlüz MAC ünvanının saxtalaşdırılmasının qarşısını alacaq. Yayım domeninin daha kiçik seqmentlərə bölünməsi ən azı ARP trafikinin ardıcıl olaraq bütün hostlara yayılmasının qarşısını aldı və hücuma məruz qala biləcək hostların sayını azaltdı. Müştəri, öz növbəsində, birbaşa ev marşrutlaşdırıcısında VPN qurmaqla özünü bu cür manipulyasiyalardan qoruya bilər; əksər cihazlar artıq bu funksiyanı dəstəkləyir.
Tapıntılar
Çox güman ki, provayderlər buna əhəmiyyət vermirlər, bütün səylər müştərilərin sayını artırmağa yönəlib. Bu material hücumu nümayiş etdirmək üçün deyil, hətta provayderinizin şəbəkəsinin məlumatlarınızı ötürmək üçün çox təhlükəsiz olmaya biləcəyini xatırlatmaq üçün yazılmışdır. Əminəm ki, əsas şəbəkə avadanlıqlarını işə salmaq üçün lazım olandan artıq heç nə etməmiş çoxlu kiçik regional İnternet provayderləri var.
Mənbə: www.habr.com