Mange virksomheder er i dag bekymrede for at sikre informationssikkerheden i deres infrastruktur, nogle gør dette efter anmodning fra regulatoriske dokumenter, og nogle gør dette fra det øjeblik, den første hændelse indtræffer. De seneste tendenser viser, at antallet af hændelser vokser, og selve angrebene bliver mere sofistikerede. Men du behøver ikke gå langt, faren er meget tættere på. Denne gang vil jeg gerne rejse emnet internetudbydersikkerhed. Der er indlæg om Habré, der diskuterede dette emne på applikationsniveau. Denne artikel vil fokusere på sikkerhed på netværks- og datalinkniveauer.
Hvordan det hele begyndte
For noget tid siden blev der installeret internet i lejligheden fra en ny udbyder, tidligere blev internettjenester leveret til lejligheden ved hjælp af ADSL-teknologi. Da jeg bruger lidt tid derhjemme, var mobilt internet mere efterspurgt end hjemmeinternet. Med overgangen til fjernarbejde besluttede jeg, at hastigheden på 50-60 Mb/s for hjemmeinternet simpelthen ikke var nok og besluttede at øge hastigheden. Med ADSL-teknologi er det af tekniske årsager ikke muligt at øge hastigheden over 60 Mb/s. Det blev besluttet at skifte til en anden udbyder med en anden deklareret hastighed og med levering af tjenester ikke via ADSL.
Det kunne have været noget andet
Kontaktede en repræsentant for internetudbyderen. Installatørerne kom, borede et hul ind i lejligheden og installerede en RJ-45 patch ledning. De gav mig en aftale og instruktioner med de netværksindstillinger, der skal indstilles på routeren (dedikeret IP, gateway, undernetmaske og IP-adresser på deres DNS), tog betaling for den første måneds arbejde og gik. Da jeg indtastede de netværksindstillinger, jeg fik, i min hjemmerouter, bragede internettet ind i lejligheden. Proceduren for en ny abonnents første login til netværket forekom mig for enkel. Der blev ikke udført nogen primær godkendelse, og min identifikator var den IP-adresse, jeg fik. Internettet fungerede hurtigt og stabilt.Der var wifi-router i lejligheden og gennem den bærende væg faldt forbindelseshastigheden lidt. En dag havde jeg brug for at downloade en fil, der målte to dusin gigabyte. Jeg tænkte, hvorfor ikke forbinde RJ-45, der skal til lejligheden, direkte til pc'en.
Kend din næste
Efter at have downloadet hele filen, besluttede jeg at lære naboerne i stikkontakterne bedre at kende.
I etageejendomme kommer internetforbindelsen ofte fra udbyderen via optisk fiber, går ind i ledningsskabet ind i en af switchene og fordeles mellem opgange og lejligheder via Ethernet-kabler, hvis vi betragter det mest primitive tilslutningsdiagram. Ja, der er allerede en teknologi, hvor optik går direkte til lejligheden (GPON), men det er endnu ikke udbredt.
Hvis vi tager en meget forenklet topologi på skalaen af et hus, ser det sådan ud:
Det viser sig, at klienterne hos denne udbyder, nogle nabolejligheder, arbejder i det samme lokale netværk på det samme koblingsudstyr.
Ved at aktivere lytning på en grænseflade, der er forbundet direkte til udbyderens netværk, kan du se broadcast ARP-trafik flyve fra alle værter på netværket.
Udbyderen besluttede ikke at besvære sig for meget med at opdele netværket i små segmenter, så broadcast-trafik fra 253 værter kunne flyde inden for en switch, ikke medregne dem, der var slukket, og dermed tilstoppe kanalbåndbredden.
Efter at have scannet netværket ved hjælp af nmap, bestemte vi antallet af aktive værter fra hele adressepuljen, softwareversionen og åbne porte på hovedswitchen:
Hvor er ARP og ARP-spoofing?
For at udføre yderligere handlinger blev det ettercap-grafiske hjælpeprogram brugt; der er også mere moderne analoger, men denne software tiltrækker med sin primitive grafiske grænseflade og brugervenlighed.
I den første kolonne er IP-adresserne på alle routere, der reagerede på ping, i den anden er deres fysiske adresser.
Den fysiske adresse er unik; den kan bruges til at indsamle oplysninger om routerens geografiske placering osv., så den vil blive skjult i forbindelse med denne artikel.
Mål 1 tilføjer hovedgatewayen med adressen 192.168.xxx.1, mål 2 tilføjer en af de andre adresser.
Vi præsenterer os selv for gatewayen som vært med adressen 192.168.xxx.204, men med vores egen MAC-adresse. Så præsenterer vi os for brugerrouteren som en gateway med adressen 192.168.xxx.1 med dens MAC. Detaljerne i denne ARP-protokolsårbarhed er beskrevet detaljeret i andre artikler, som er nemme at Google.
Som et resultat af alle manipulationerne har vi trafik fra værterne, der går gennem os, efter at have aktiveret pakkevideresendelse:
Ja, https bruges allerede næsten overalt, men netværket er stadig fyldt med andre usikrede protokoller. For eksempel den samme DNS med et DNS-spoofing-angreb. Netop det faktum, at et MITM-angreb kan udføres, giver anledning til mange andre angreb. Tingene bliver værre, når der er flere dusin aktive værter tilgængelige på netværket. Det er værd at overveje, at dette er den private sektor, ikke et virksomhedsnetværk, og ikke alle har beskyttelsesforanstaltninger til at opdage og modvirke relaterede angreb.
Sådan undgår du det
Udbyderen bør være bekymret over dette problem; opsætning af beskyttelse mod sådanne angreb er meget enkel, i tilfælde af den samme Cisco-switch.
Aktivering af Dynamic ARP Inspection (DAI) vil forhindre, at mastergatewayens MAC-adresse bliver forfalsket. At opdele broadcast-domænet i mindre segmenter forhindrede i det mindste ARP-trafik i at sprede sig til alle værter i en række og reducerede antallet af værter, der kunne blive angrebet. Klienten kan til gengæld beskytte sig selv mod sådanne manipulationer ved at oprette en VPN direkte på sin hjemmerouter; de fleste enheder understøtter allerede denne funktionalitet.
Fund
Mest sandsynligt er udbyderne ligeglade med dette; alle bestræbelser er rettet mod at øge antallet af klienter. Dette materiale er ikke skrevet for at demonstrere et angreb, men for at minde dig om, at selv din udbyders netværk måske ikke er særlig sikkert til at overføre dine data. Jeg er sikker på, at der er mange små regionale internetudbydere, der ikke har gjort mere end nødvendigt for at køre grundlæggende netværksudstyr.
Kilde: www.habr.com