Parechje cumpagnie oghje sò preoccupati per assicurà a sicurità di l'infurmazioni di a so infrastruttura, alcuni facenu questu à a dumanda di documenti regulatori, è certi facenu questu da u mumentu chì u primu incidente si faci. I tendenzi recenti mostranu chì u numeru di incidenti cresce, è l'attacchi stessi sò diventati più sufisticati. Ma ùn avete bisognu di andà luntanu, u periculu hè assai più vicinu. Sta volta mi piacerebbe suscitarà u tema di a sicurità di u fornitore di Internet. Ci sò posti nantu à Habré chì discutanu stu tema à u livellu di l'applicazione. Questu articulu hà da fucalizza nantu à a sicurità à i livelli di rete è di dati.
Cumu si cuminciò tuttu
Qualchì tempu fà, Internet hè statu stallatu in l'appartamentu da un novu fornitore prima, i servizii di Internet sò stati furniti à l'appartamentu cù a tecnulugia ADSL. Siccomu passanu pocu tempu in casa, l'Internet mobile era più dumandatu da Internet in casa. Cù a transizione à u travagliu remoto, aghju decisu chì a vitezza di 50-60 Mb / s per l'Internet in casa era simplicemente micca abbastanza è decisu di aumentà a vitezza. Cù a tecnulugia ADSL, per ragioni tecniche, ùn hè micca pussibule di aumentà a vitezza sopra 60 Mb/s. Hè statu decisu di cambià à un altru fornitore cù una velocità operativa dichjarata diversa è cù a prestazione di servizii micca via ADSL.
Puderia esse qualcosa di diversu
Cuntattatu un rappresentante di u fornitore di Internet. L'installatori sò ghjunti, perforatu un pirtusu in l'appartamentu, è stallanu un cordone di patch RJ-45. M'hà datu un accordu è struzzioni cù i paràmetri di a rete chì deve esse stabilitu nantu à u router (IP dedicatu, gateway, subnet mask è indirizzi IP di u so DNS), hà pigliatu pagamentu per u primu mese di travagliu è si n'andò. Quandu aghju intrutu in i paràmetri di a rete chì m'hà datu in u mo router di casa, l'Internet scoppiu in l'appartamentu. A prucedura per u login iniziale di un novu abbonatu à a reta mi pareva troppu simplice. Nisuna autorizazione primaria hè stata realizata, è u mo identificatore era l'indirizzu IP datu à mè. L'Internet hà travagliatu rapidamente è stabile Ci era un router wifi in l'appartamentu è à traversu u muru di carica, a velocità di cunnessione hè calata un pocu. Un ghjornu, aghju avutu bisognu di scaricà un schedariu chì misurava duie decine di gigabyte. Pensu, perchè micca cunnette u RJ-45 andendu à l'appartamentu direttamente à u PC.
Cunnosci u to vicinu
Dopu avè scaricatu u schedariu sanu, aghju decisu di cunnosce megliu i vicini in i sockets switch.
In l'edificazioni di l'appartamentu, a cunnessione Internet spessu vene da u fornitore per via di fibra ottica, entra in l'armadiu di cablaggio in unu di i switches è hè distribuitu trà l'entrate è l'appartamenti via i cables Ethernet, se cunsideremu u schema di cunnessione più primitivu. Iè, ci hè digià una tecnulugia induve l'ottica vai direttamente à l'appartamentu (GPON), ma questu ùn hè micca ancu diffusa.
Se pigliemu una topulugia assai simplificata nantu à a scala di una casa, pare cusì:
Risulta chì i clienti di stu fornitore, certi appartamenti vicini, travaglianu in a listessa reta lucale nantu à u stessu equipamentu di cambiamentu.
Permettenu l'ascolta nantu à una interfaccia cunnessa direttamente à a reta di u fornitore, pudete vede u trafficu ARP broadcast volendu da tutti l'ospiti in a reta.
U fornitore hà decisu di ùn disturbà micca troppu cù a divisione di a rete in picculi segmenti, cusì u trafficu di trasmissione da 253 ospiti puderia scorri in un interruttore, senza cuntà quelli chì sò stati spenti, obstruendu cusì a larghezza di banda di u canali.
Dopu avè scansatu a reta cù nmap, avemu determinatu u numeru di ospiti attivi da tuttu u gruppu di indirizzu, a versione di u software è i porti aperti di u switch principale:
Induve hè ARP è ARP-spoofing?
Per fà più azzioni, l'utilità ettercap-grafica hè stata utilizata, ci sò ancu analoghi più muderni, ma stu software attrae cù a so interfaccia gràfica primitiva è a facilità d'utilizazione.
In a prima colonna sò l'indirizzi IP di tutti i routers chì rispondenu à u ping, in a seconda sò i so indirizzi fisichi.
L'indirizzu fisicu hè unicu, pò esse usatu per cullà l'infurmazioni nantu à u locu geograficu di u router, etc., cusì serà oculatu per i scopi di stu articulu.
U scopu 1 aghjunghje a porta principale cù l'indirizzu 192.168.xxx.1, u scopu 2 aghjunghje unu di l'altri indirizzi.
Ci intruducemu à a porta cum'è un òspite cù l'indirizzu 192.168.xxx.204, ma cù u nostru indirizzu MAC. Allora ci prisentamu à u router di l'utilizatori cum'è una porta d'ingressu cù l'indirizzu 192.168.xxx.1 cù u so MAC. I dettagli di questa vulnerabilità di u protokollu ARP sò discututi in detail in altri articuli chì sò faciuli à Google.
In u risultatu di tutte e manipulazioni, avemu u trafficu da l'ospiti chì passa per noi, avè attivatu prima l'invio di pacchetti:
Iè, https hè digià utilizatu quasi in ogni locu, ma a reta hè sempre piena di altri protokolli micca assicurati. Per esempiu, u listessu DNS cù un attaccu di spoofing DNS. U fattu stessu chì un attaccu MITM pò esse realizatu dà nascita à parechji altri attacchi. E cose peghju quandu ci sò parechje decine d'ospiti attivi dispunibili nantu à a reta. Hè vale a pena cunsiderà chì questu hè u settore privatu, micca una reta corporativa, è micca tutti ùn anu misure di prutezzione per detectà è contru à l'attacchi rilativi.
Cumu evitari
U fornitore deve esse preoccupatu di stu prublemu di stallà a prutezzione contru tali attacchi hè assai sèmplice, in u casu di u listessu Cisco.
L'attivazione di l'Inspeczione ARP Dinamica (DAI) impedirà l'indirizzu MAC di u gateway maestru da esse spoofed. Rumpendu u duminiu di broadcast in segmenti più chjuchi impediscenu almenu u trafficu ARP di sparghje à tutti l'ospiti in una fila è riducendu u numeru di ospiti chì puderanu esse attaccati. U cliente, à u turnu, pò prutezzione di tali manipulazioni cunfittendu una VPN direttamente nantu à u so router di casa, a maiò parte di i dispositi supportanu sta funziunalità.
scuperti
Probabilmente, i fornituri ùn anu micca cura di questu, tutti i sforzi sò destinati à aumentà u numeru di clienti. Stu materiale ùn hè statu scrittu per dimustrà un attaccu, ma per ricurdà chì ancu a reta di u vostru fornitore pò esse micca assai sicura per trasmette i vostri dati. Sò sicuru chì ci sò parechji picculi fornitori di servizii d'Internet regiunale chì ùn anu fattu nunda di più di ciò chì hè necessariu per gestisce l'equipaggiu di rete di basa.
Source: www.habr.com