Heutzutage machen sich viele Unternehmen Sorgen um die Gewährleistung der Informationssicherheit ihrer Infrastruktur. Manche tun dies auf Anforderung behördlicher Dokumente und manche tun dies bereits ab dem Moment, in dem sich der erste Vorfall ereignet. Jüngste Trends zeigen, dass die Zahl der Vorfälle zunimmt und die Angriffe selbst immer ausgefeilter werden. Aber Sie müssen nicht weit gehen, die Gefahr ist viel näher. Dieses Mal möchte ich das Thema Sicherheit von Internetanbietern ansprechen. Auf Habré gibt es Beiträge, die dieses Thema auf Anwendungsebene diskutieren. Dieser Artikel konzentriert sich auf die Sicherheit auf Netzwerk- und Datenverbindungsebene.
Wie alles begann
Vor einiger Zeit wurde in der Wohnung Internet von einem neuen Anbieter installiert, zuvor wurden Internetdienste über ADSL-Technologie in die Wohnung geliefert. Da ich wenig Zeit zu Hause verbringe, war mobiles Internet gefragter als Heim-Internet. Mit dem Übergang zur Fernarbeit kam ich zu dem Schluss, dass die Geschwindigkeit von 50-60 Mbit/s für das Heim-Internet einfach nicht ausreichte, und beschloss, die Geschwindigkeit zu erhöhen. Bei der ADSL-Technologie ist es aus technischen Gründen nicht möglich, die Geschwindigkeit über 60 Mbit/s zu steigern. Es wurde beschlossen, zu einem anderen Anbieter mit einer anderen angegebenen Geschwindigkeit und der Bereitstellung von Diensten nicht über ADSL zu wechseln.
Es hätte etwas anderes sein können
Kontaktaufnahme mit einem Vertreter des Internetanbieters. Die Installateure kamen, bohrten ein Loch in die Wohnung und installierten ein RJ-45-Patchkabel. Sie gaben mir eine Vereinbarung und Anweisungen zu den Netzwerkeinstellungen, die auf dem Router eingestellt werden müssen (dedizierte IP, Gateway, Subnetzmaske und IP-Adressen ihres DNS), nahmen die Zahlung für den ersten Arbeitsmonat entgegen und gingen. Als ich die mir vorgegebenen Netzwerkeinstellungen in meinen Heimrouter eingab, brach das Internet in die Wohnung ein. Das Verfahren zur erstmaligen Anmeldung eines neuen Teilnehmers am Netzwerk erschien mir zu einfach. Es wurde keine primäre Autorisierung durchgeführt und meine Kennung war die mir gegebene IP-Adresse. Das Internet funktionierte schnell und stabil. Es gab einen WLAN-Router in der Wohnung und durch die tragende Wand sank die Verbindungsgeschwindigkeit etwas. Eines Tages musste ich eine zwei Dutzend Gigabyte große Datei herunterladen. Ich dachte, warum nicht den RJ-45, der zur Wohnung führt, direkt an den PC anschließen?
Kenne deinen Nächsten
Nachdem ich die gesamte Datei heruntergeladen hatte, beschloss ich, die Nachbarn in den Schaltsteckdosen besser kennenzulernen.
In Mehrfamilienhäusern kommt die Internetverbindung oft vom Provider über Glasfaser, geht in den Verteilerschrank in einen der Schalter und wird über Ethernet-Kabel zwischen Eingängen und Wohnungen verteilt, wenn man den primitivsten Anschlussplan betrachtet. Ja, es gibt bereits eine Technologie, bei der die Optik direkt in die Wohnung geht (GPON), aber diese ist noch nicht weit verbreitet.
Wenn wir eine sehr vereinfachte Topologie auf der Skala eines Hauses nehmen, sieht sie in etwa so aus:
Es stellt sich heraus, dass die Kunden dieses Anbieters, einige benachbarte Wohnungen, im selben lokalen Netzwerk an denselben Vermittlungsgeräten arbeiten.
Wenn Sie das Abhören einer Schnittstelle aktivieren, die direkt mit dem Netzwerk des Anbieters verbunden ist, können Sie Broadcast-ARP-Verkehr von allen Hosts im Netzwerk sehen.
Der Anbieter beschloss, sich nicht allzu sehr um die Aufteilung des Netzwerks in kleine Segmente zu kümmern, sodass der Broadcast-Verkehr von 253 Hosts innerhalb eines Switches fließen konnte, wobei die ausgeschalteten Hosts nicht mitgezählt wurden, wodurch die Kanalbandbreite verstopft wurde.
Nachdem wir das Netzwerk mit nmap gescannt hatten, ermittelten wir die Anzahl der aktiven Hosts aus dem gesamten Adresspool, die Softwareversion und die offenen Ports des Hauptswitches:
Wo ist ARP und ARP-Spoofing?
Um weitere Aktionen durchzuführen, wurde das grafische Dienstprogramm etercap verwendet; es gibt modernere Analoga, aber diese Software besticht durch ihre primitive grafische Oberfläche und Benutzerfreundlichkeit.
In der ersten Spalte stehen die IP-Adressen aller Router, die auf den Ping geantwortet haben, in der zweiten deren physikalische Adressen.
Die physische Adresse ist eindeutig; sie kann zum Sammeln von Informationen über den geografischen Standort des Routers usw. verwendet werden und wird daher für die Zwecke dieses Artikels ausgeblendet.
Ziel 1 fügt das Hauptgateway mit der Adresse 192.168.xxx.1 hinzu, Ziel 2 fügt eine der anderen Adressen hinzu.
Wir stellen uns dem Gateway als Host mit der Adresse 192.168.xxx.204 vor, jedoch mit unserer eigenen MAC-Adresse. Dann präsentieren wir uns dem Benutzer-Router als Gateway mit der Adresse 192.168.xxx.1 mit seinem MAC. Die Details dieser ARP-Protokoll-Schwachstelle werden ausführlich in anderen Artikeln besprochen, die leicht von Google gelesen werden können.
Als Ergebnis aller Manipulationen haben wir Datenverkehr von den Hosts, der über uns läuft, nachdem wir zuvor die Paketweiterleitung aktiviert haben:
Ja, https wird bereits fast überall verwendet, aber das Netzwerk ist immer noch voll von anderen ungesicherten Protokollen. Beispielsweise dasselbe DNS mit einem DNS-Spoofing-Angriff. Allein die Tatsache, dass ein MITM-Angriff durchgeführt werden kann, führt zu vielen anderen Angriffen. Noch schlimmer wird es, wenn mehrere Dutzend aktive Hosts im Netzwerk verfügbar sind. Es ist zu bedenken, dass es sich hierbei um den privaten Sektor und nicht um ein Unternehmensnetzwerk handelt und nicht jeder über Schutzmaßnahmen verfügt, um entsprechende Angriffe zu erkennen und abzuwehren.
So vermeiden Sie es
Der Anbieter sollte sich über dieses Problem Gedanken machen; die Einrichtung eines Schutzes gegen solche Angriffe ist bei demselben Cisco-Switch sehr einfach.
Die Aktivierung der dynamischen ARP-Inspektion (DAI) würde verhindern, dass die MAC-Adresse des Master-Gateways gefälscht wird. Durch die Aufteilung der Broadcast-Domäne in kleinere Segmente wurde zumindest die Ausbreitung des ARP-Verkehrs auf alle Hosts hintereinander verhindert und die Anzahl der Hosts verringert, die angegriffen werden könnten. Der Kunde wiederum kann sich vor solchen Manipulationen schützen, indem er direkt auf seinem Heimrouter ein VPN einrichtet; die meisten Geräte unterstützen diese Funktionalität bereits.
Befund
Den Anbietern ist das höchstwahrscheinlich egal, alle Bemühungen zielen darauf ab, die Zahl der Kunden zu erhöhen. Dieses Material wurde nicht geschrieben, um einen Angriff zu demonstrieren, sondern um Sie daran zu erinnern, dass selbst das Netzwerk Ihres Anbieters möglicherweise nicht sehr sicher für die Übertragung Ihrer Daten ist. Ich bin mir sicher, dass es viele kleine regionale Internetdienstanbieter gibt, die nicht mehr getan haben, als für den Betrieb einer grundlegenden Netzwerkausrüstung erforderlich ist.
Source: habr.com