Daghang mga kompanya karon ang nabalaka bahin sa pagsiguro sa kasiguruhan sa kasayuran sa ilang imprastraktura, ang uban naghimo niini sa hangyo sa mga dokumento sa regulasyon, ug ang uban naghimo niini gikan sa higayon nga nahitabo ang una nga insidente. Ang bag-ong mga uso nagpakita nga ang gidaghanon sa mga insidente nagkadaghan, ug ang mga pag-atake mismo nahimong mas sopistikado. Apan dili nimo kinahanglan nga moadto sa layo, ang peligro labi ka duol. Niining higayona gusto nako nga ipataas ang hilisgutan sa seguridad sa Internet provider. Adunay mga post sa HabrΓ© nga naghisgot niini nga hilisgutan sa lebel sa aplikasyon. Kini nga artikulo magpunting sa seguridad sa lebel sa network ug data link.
Giunsa kini pagsugod
Kaniadto, ang Internet gi-install sa apartment gikan sa usa ka bag-ong provider; kaniadto, ang mga serbisyo sa Internet gihatag sa apartment gamit ang teknolohiya sa ADSL. Tungod kay gamay ra ang akong oras sa balay, ang mobile Internet mas gipangayo kaysa sa Internet sa balay. Uban sa pagbalhin ngadto sa hilit nga trabaho, nakahukom ko nga ang katulin sa 50-60 Mb/s alang sa Internet sa balay dili igo ug nakahukom sa pagpausbaw sa katulin. Uban sa teknolohiya sa ADSL, alang sa teknikal nga mga hinungdan, dili posible nga madugangan ang tulin nga labaw sa 60 Mb/s. Nakahukom nga mobalhin sa laing provider nga adunay lahi nga gideklarar nga katulin ug sa paghatag sa mga serbisyo dili pinaagi sa ADSL.
Mahimong lahi kini
Gikontak ang usa ka representante sa Internet provider. Nag-abot ang mga installer, nag-drill ug buslot sa apartment, ug nagbutang ug RJ-45 patch cord. Gihatagan nila ako usa ka kasabutan ug mga panudlo sa mga setting sa network nga kinahanglan itakda sa router (gipahinungod nga IP, gateway, subnet mask ug mga IP address sa ilang DNS), gikuha ang bayad sa unang bulan sa trabaho ug mibiya. Sa dihang akong gisulod ang mga setting sa network nga gihatag kanako sa akong router sa balay, ang Internet misulod sa apartment. Ang pamaagi alang sa una nga pag-login sa bag-ong subscriber sa network ingon og yano ra kaayo alang kanako. Walay nag-una nga pagtugot nga gihimo, ug ang akong identifier mao ang IP address nga gihatag kanako. Ang Internet nagtrabaho nga dali ug lig-on.Adunay wifi router sa apartment ug pinaagi sa bungbong nga nagdala sa load ang gikusgon sa koneksyon mikunhod gamay. Usa ka adlaw, kinahanglan kong mag-download og file nga may sukod nga duha ka dosena nga gigabytes. Naghunahuna ko, nganong dili ikonektar ang RJ-45 nga moadto sa apartment direkta sa PC.
Ilha ang imong silingan
Sa pag-download sa tibuok nga file, nakahukom ko nga mas mailhan ang mga silingan sa mga switch socket.
Sa mga building sa apartment, ang koneksyon sa Internet kanunay nga gikan sa provider pinaagi sa optical fiber, moadto sa wiring closet ngadto sa usa sa mga switch ug iapod-apod tali sa mga entrada ug mga apartment pinaagi sa mga kable sa Ethernet, kung atong tagdon ang labing karaan nga diagram sa koneksyon. Oo, aduna nay teknolohiya diin ang mga optika diretso sa apartment (GPON), apan dili pa kini kaylap.
Kung magkuha kami usa ka gipasimple nga topology sa sukod sa usa ka balay, ingon niini ang hitsura:
Kini nahimo nga ang mga kliyente niini nga tighatag, ang pipila ka mga silingan nga apartment, nagtrabaho sa parehas nga lokal nga network sa parehas nga kagamitan sa pagbalhin.
Pinaagi sa pagpagana sa pagpaminaw sa usa ka interface nga direktang konektado sa network sa provider, imong makita ang broadcast nga trapiko sa ARP nga naglupad gikan sa tanang host sa network.
Ang tighatag nakahukom nga dili magsamok pag-ayo sa pagbahin sa network ngadto sa gagmay nga mga bahin, mao nga ang trapiko sa broadcast gikan sa 253 nga mga host mahimong modagayday sa sulod sa usa ka switch, dili maihap ang mga gipalong, sa ingon nagbara sa bandwidth sa channel.
Sa pag-scan sa network gamit ang nmap, among gitino ang gidaghanon sa mga aktibong host gikan sa tibuok address pool, ang software nga bersyon ug ang mga open port sa main switch:
Ug asa ang ARP didto ug ang ARP-spoofing
Aron mahimo ang dugang nga mga aksyon, gigamit ang ettercap-graphical utility; adunay mas modernong mga analogue, apan kini nga software nakadani sa iyang primitive graphical interface ug kadali sa paggamit.
Sa una nga kolum mao ang mga IP address sa tanan nga mga router nga mitubag sa ping, sa ikaduha mao ang ilang pisikal nga mga adres.
Ang pisikal nga adres talagsaon; kini mahimong gamiton sa pagkolekta sa impormasyon mahitungod sa geographic nga lokasyon sa router, ug uban pa, mao nga kini matago alang sa mga katuyoan niini nga artikulo.
Ang tumong 1 midugang sa nag-unang ganghaan nga adunay adres nga 192.168.xxx.1, ang tumong 2 midugang sa usa sa ubang mga adres.
Gipaila namo ang among kaugalingon sa gateway isip host nga adunay address nga 192.168.xxx.204, apan gamit ang among kaugalingong MAC address. Dayon among gipresentar ang among kaugalingon sa user router isip gateway nga adunay address nga 192.168.xxx.1 uban sa MAC niini. Ang mga detalye niining pagkahuyang sa ARP protocol gihisgutan sa detalye sa ubang mga artikulo nga sayon ββsa Google.
Ingon usa ka sangputanan sa tanan nga mga pagmaniobra, kami adunay trapiko gikan sa mga host nga moagi kanamo, nga kaniadto nakapahimo sa pagpasa sa packet:
Oo, ang https gigamit na halos bisan asa, apan ang network puno gihapon sa uban pang dili luwas nga mga protocol. Pananglitan, ang parehas nga DNS nga adunay pag-atake sa DNS-spoofing. Ang mismong kamatuoran nga ang usa ka pag-atake sa MITM mahimoβg himuon nga hinungdan sa daghang uban pang mga pag-atake. Nagkagrabe ang mga butang kung adunay daghang dosena nga aktibo nga mga host nga magamit sa network. Angayan nga hunahunaon nga kini ang pribadong sektor, dili usa ka network sa korporasyon, ug dili tanan adunay mga lakang sa pagpanalipod aron mahibal-an ug masumpo ang mga pag-atake nga may kalabutan.
Unsaon paglikay niini
Ang tighatag kinahanglan nga mabalaka bahin sa kini nga problema; ang pagpahimutang sa proteksyon batok sa ingon nga mga pag-atake yano ra kaayo, sa kaso sa parehas nga switch sa Cisco.
Ang pagpagana sa Dynamic ARP Inspection (DAI) makapugong sa master gateway MAC address nga ma-spoof. Ang pagbungkag sa broadcast domain ngadto sa mas gagmay nga mga bahin nagpugong sa bisan gamay nga trapiko sa ARP gikan sa pagkaylap sa tanan nga mga host sa usa ka laray ug pagkunhod sa gidaghanon sa mga host nga mahimong atakehon. Ang kliyente, sa baylo, makapanalipod sa iyang kaugalingon gikan sa ingon nga mga manipulasyon pinaagi sa pag-set up sa usa ka VPN direkta sa iyang home router; kadaghanan sa mga aparato nagsuporta na niini nga gamit.
kaplag
Lagmit, ang mga tighatag wala magtagad niini; ang tanan nga mga paningkamot gitumong sa pagdugang sa gidaghanon sa mga kliyente. Kini nga materyal wala gisulat aron ipakita ang usa ka pag-atake, apan aron ipahinumdom kanimo nga bisan ang network sa imong provider mahimong dili kaayo luwas alang sa pagpadala sa imong data. Sigurado ko nga adunay daghang gagmay nga rehiyonal nga mga tighatag sa serbisyo sa Internet nga walaβy nahimo labi pa sa kinahanglan sa pagpadagan sa batakang kagamitan sa network.
Source: www.habr.com