Mnoho společností se dnes zajímá o zajištění informační bezpečnosti své infrastruktury, některé to dělají na žádost regulačních dokumentů a některé to dělají od okamžiku, kdy dojde k prvnímu incidentu. Poslední trendy ukazují, že počet incidentů roste a samotné útoky jsou stále sofistikovanější. Ale nemusíte chodit daleko, nebezpečí je mnohem blíž. Tentokrát bych rád nastolil téma bezpečnosti poskytovatelů internetu. Na Habré jsou příspěvky, které toto téma probíraly na aplikační úrovni. Tento článek se zaměří na zabezpečení na úrovni sítě a datového spojení.
Jak to všechno začalo
Před časem byl v bytě zaveden internet od nového poskytovatele, dříve byly internetové služby do bytu dodávány technologií ADSL. Jelikož trávím málo času doma, byl mobilní internet žádanější než domácí internet. S přechodem na práci na dálku jsem usoudil, že rychlost 50-60 Mb/s pro domácí internet je prostě málo a rozhodl jsem se rychlost zvýšit. U technologie ADSL není z technických důvodů možné zvýšit rychlost nad 60 Mb/s. Bylo rozhodnuto o přechodu k jinému poskytovateli s jinou deklarovanou rychlostí a s poskytováním služeb nikoliv přes ADSL.
Mohlo to být něco jiného
Kontaktoval zástupce poskytovatele internetu. Přišli montéři, vyvrtali díru do bytu a nainstalovali propojovací kabel RJ-45. Dali mi souhlas a instrukce s nastavením sítě, které je potřeba nastavit na routeru (vyhrazená IP, brána, maska podsítě a IP adresy jejich DNS), vzali platbu za první měsíc práce a odešli. Když jsem do domácího routeru zadal nastavení sítě, které mi bylo přiděleno, do bytu vtrhl internet. Postup pro prvotní přihlášení nového účastníka do sítě se mi zdál příliš jednoduchý. Nebyla provedena žádná primární autorizace a mým identifikátorem byla IP adresa, která mi byla přidělena. Internet fungoval rychle a stabilně.V bytě byl wifi router a přes nosnou zeď trochu klesla rychlost připojení. Jednoho dne jsem potřeboval stáhnout soubor o velikosti dvou desítek gigabajtů. Říkal jsem si, proč nepřipojit RJ-45 jdoucí do bytu přímo k PC.
Poznej svého souseda
Po stažení celého souboru jsem se rozhodl lépe poznat sousedy ve spínacích zásuvkách.
Internetové připojení v bytových domech často přichází od poskytovatele přes optické vlákno, jde do rozvodné skříně do jednoho z switchů a mezi vchody a byty se rozvádí přes ethernetové kabely, pokud vezmeme v úvahu nejprimitivnější schéma zapojení. Ano, existuje již technologie, kdy jde optika přímo do bytu (GPON), ale zatím není rozšířená.
Pokud vezmeme velmi zjednodušenou topologii v měřítku jednoho domu, vypadá to asi takto:
Ukazuje se, že klienti tohoto poskytovatele, některé sousední byty, pracují ve stejné lokální síti na stejném spínacím zařízení.
Povolením naslouchání na rozhraní připojeném přímo k síti poskytovatele můžete vidět vysílaný provoz ARP létající ze všech hostitelů v síti.
Poskytovatel se rozhodl příliš se neobtěžovat s dělením sítě na malé segmenty, takže v rámci jednoho přepínače mohl proudit vysílací provoz z 253 hostitelů, nepočítaje ty, které byly vypnuté, a tím ucpaly šířku pásma kanálu.
Po prohledání sítě pomocí nmap jsme určili počet aktivních hostitelů z celého fondu adres, verzi softwaru a otevřené porty hlavního přepínače:
Kde je ARP a ARP-spoofing?
K provedení dalších akcí byl použit grafický nástroj ettercap, existují i modernější analogy, ale tento software přitahuje svým primitivním grafickým rozhraním a snadností použití.
V prvním sloupci jsou IP adresy všech routerů, které reagovaly na ping, ve druhém jsou jejich fyzické adresy.
Fyzická adresa je jedinečná, lze ji použít ke sběru informací o geografické poloze routeru atd., takže bude pro účely tohoto článku skryta.
Cíl 1 přidá hlavní bránu s adresou 192.168.xxx.1, cíl 2 přidá jednu z dalších adres.
Bráně se představujeme jako hostitel s adresou 192.168.xxx.204, ale s vlastní MAC adresou. Poté se uživatelskému routeru představíme jako brána s adresou 192.168.xxx.1 s jeho MAC. Podrobnosti o této zranitelnosti protokolu ARP jsou podrobně popsány v jiných článcích, které jsou pro Google snadné.
V důsledku všech manipulací máme provoz od hostitelů, kteří procházejí námi, protože dříve povolili předávání paketů:
Ano, https už se používá skoro všude, ale síť je stále plná dalších nezabezpečených protokolů. Například stejný DNS s útokem DNS-spoofing. Samotná skutečnost, že lze provést útok MITM, vede k mnoha dalším útokům. Věci se zhorší, když je v síti k dispozici několik desítek aktivních hostitelů. Stojí za zvážení, že se jedná o soukromý sektor, nikoli o podnikovou síť, a ne každý má ochranná opatření k odhalování a potírání souvisejících útoků.
Jak se tomu vyhnout
Poskytovatel by se měl tohoto problému obávat, nastavení ochrany proti takovým útokům je v případě stejného Cisco switche velmi jednoduché.
Povolením dynamické kontroly ARP (DAI) by se zabránilo podvržení MAC adresy hlavní brány. Rozdělením vysílací domény na menší segmenty se zabránilo šíření provozu ARP na všechny hostitele v řadě a snížení počtu hostitelů, kteří by mohli být napadeni. Klient se zase před podobnými manipulacemi může chránit nastavením VPN přímo na svém domácím routeru, většina zařízení již tuto funkcionalitu podporuje.
Závěry
S největší pravděpodobností se o to poskytovatelé nestarají, veškeré úsilí směřuje ke zvýšení počtu klientů. Tento materiál nebyl napsán proto, aby demonstroval útok, ale aby vám připomněl, že ani síť vašeho poskytovatele nemusí být pro přenos vašich dat příliš bezpečná. Jsem si jistý, že existuje mnoho malých regionálních poskytovatelů internetových služeb, kteří neudělali nic víc, než je nutné pro provoz základního síťového vybavení.
Zdroj: www.habr.com