Πολλές εταιρείες σήμερα ενδιαφέρονται για τη διασφάλιση της ασφάλειας των πληροφοριών της υποδομής τους, ορισμένες το κάνουν αυτό κατόπιν αιτήματος των κανονιστικών εγγράφων και ορισμένες το κάνουν από τη στιγμή που συμβαίνει το πρώτο περιστατικό. Οι πρόσφατες τάσεις δείχνουν ότι ο αριθμός των περιστατικών αυξάνεται και οι ίδιες οι επιθέσεις γίνονται πιο περίπλοκες. Αλλά δεν χρειάζεται να πάτε μακριά, ο κίνδυνος είναι πολύ πιο κοντά. Αυτή τη φορά θα ήθελα να θίξω το θέμα της ασφάλειας των παρόχων Διαδικτύου. Υπάρχουν δημοσιεύσεις στο Habré που συζήτησαν αυτό το θέμα σε επίπεδο εφαρμογής. Αυτό το άρθρο θα επικεντρωθεί στην ασφάλεια σε επίπεδο δικτύου και συνδέσμων δεδομένων.
Πώς όλα άρχισαν
Πριν από λίγο καιρό, εγκαταστάθηκε Διαδίκτυο στο διαμέρισμα από έναν νέο πάροχο· προηγουμένως, οι υπηρεσίες Διαδικτύου παραδόθηκαν στο διαμέρισμα χρησιμοποιώντας τεχνολογία ADSL. Δεδομένου ότι περνάω λίγο χρόνο στο σπίτι, το Διαδίκτυο για κινητά ήταν πιο περιζήτητο από το Διαδίκτυο στο σπίτι. Με τη μετάβαση στην απομακρυσμένη εργασία, αποφάσισα ότι η ταχύτητα των 50-60 Mb/s για το Διαδίκτυο στο σπίτι απλά δεν ήταν αρκετή και αποφάσισα να αυξήσω την ταχύτητα. Με την τεχνολογία ADSL, για τεχνικούς λόγους, δεν είναι δυνατή η αύξηση της ταχύτητας πάνω από 60 Mb/s. Αποφασίστηκε η μετάβαση σε άλλο πάροχο με διαφορετική δηλωμένη ταχύτητα και με παροχή υπηρεσιών όχι μέσω ADSL.
Θα μπορούσε να ήταν κάτι διαφορετικό
Επικοινώνησε με έναν εκπρόσωπο του παρόχου Διαδικτύου. Οι εγκαταστάτες ήρθαν, άνοιξαν μια τρύπα στο διαμέρισμα και τοποθέτησαν ένα καλώδιο patch RJ-45. Μου έδωσαν συμφωνία και οδηγίες με τις ρυθμίσεις δικτύου που πρέπει να οριστούν στο ρούτερ (αποκλειστική IP, πύλη, μάσκα υποδικτύου και διευθύνσεις IP του DNS τους), πήραν την πληρωμή για τον πρώτο μήνα εργασίας και έφυγαν. Όταν έβαλα τις ρυθμίσεις δικτύου που μου δόθηκαν στο δρομολογητή του σπιτιού μου, το Διαδίκτυο μπήκε στο διαμέρισμα. Η διαδικασία για την αρχική είσοδο ενός νέου συνδρομητή στο δίκτυο μου φάνηκε πολύ απλή. Δεν πραγματοποιήθηκε καμία κύρια εξουσιοδότηση και το αναγνωριστικό μου ήταν η διεύθυνση IP που μου δόθηκε. Το Διαδίκτυο δούλευε γρήγορα και σταθερά.Υπήρχε δρομολογητής wifi στο διαμέρισμα και μέσω του φέροντος τοίχου έπεσε λίγο η ταχύτητα σύνδεσης. Μια μέρα, χρειάστηκε να κατεβάσω ένα αρχείο μεγέθους δύο δωδεκάδων gigabyte. Σκέφτηκα, γιατί να μην συνδέσω το RJ-45 που πηγαίνει στο διαμέρισμα απευθείας στον υπολογιστή.
Γνώρισε τον πλησίον σου
Έχοντας κατεβάσει ολόκληρο το αρχείο, αποφάσισα να γνωρίσω καλύτερα τους γείτονες στις πρίζες του διακόπτη.
Στις πολυκατοικίες, η σύνδεση στο Διαδίκτυο συχνά προέρχεται από τον πάροχο μέσω οπτικής ίνας, μπαίνει στην ντουλάπα καλωδίωσης σε έναν από τους διακόπτες και διανέμεται μεταξύ εισόδων και διαμερισμάτων μέσω καλωδίων Ethernet, αν λάβουμε υπόψη το πιο πρωτόγονο διάγραμμα σύνδεσης. Ναι, υπάρχει ήδη μια τεχνολογία όπου τα οπτικά πάνε κατευθείαν στο διαμέρισμα (GPON), αλλά αυτό δεν είναι ακόμη ευρέως διαδεδομένο.
Αν πάρουμε μια πολύ απλοποιημένη τοπολογία στην κλίμακα ενός σπιτιού, μοιάζει κάπως έτσι:
Αποδεικνύεται ότι οι πελάτες αυτού του παρόχου, ορισμένα γειτονικά διαμερίσματα, εργάζονται στο ίδιο τοπικό δίκτυο στον ίδιο εξοπλισμό μεταγωγής.
Ενεργοποιώντας την ακρόαση σε μια διεπαφή που είναι συνδεδεμένη απευθείας στο δίκτυο του παρόχου, μπορείτε να δείτε την κυκλοφορία μετάδοσης ARP που εκπέμπεται από όλους τους κεντρικούς υπολογιστές στο δίκτυο.
Ο πάροχος αποφάσισε να μην ασχοληθεί πολύ με τη διαίρεση του δικτύου σε μικρά τμήματα, έτσι η κυκλοφορία μετάδοσης από 253 κεντρικούς υπολογιστές θα μπορούσε να ρέει μέσα σε έναν διακόπτη, χωρίς να υπολογίζονται αυτοί που ήταν απενεργοποιημένοι, με αποτέλεσμα να φράσσεται το εύρος ζώνης του καναλιού.
Έχοντας σαρώσει το δίκτυο χρησιμοποιώντας nmap, προσδιορίσαμε τον αριθμό των ενεργών κεντρικών υπολογιστών από ολόκληρο το χώρο συγκέντρωσης διευθύνσεων, την έκδοση λογισμικού και τις ανοιχτές θύρες του κύριου μεταγωγέα:
Και πού είναι το ARP εκεί και το ARP-spoofing
Για να πραγματοποιηθούν περαιτέρω ενέργειες, χρησιμοποιήθηκε το βοηθητικό πρόγραμμα γραφικών ettercap· υπάρχουν επίσης πιο σύγχρονα ανάλογα, αλλά αυτό το λογισμικό προσελκύει με την πρωτόγονη γραφική διεπαφή και την ευκολία χρήσης του.
Στην πρώτη στήλη βρίσκονται οι διευθύνσεις IP όλων των δρομολογητών που ανταποκρίθηκαν στο ping, στη δεύτερη είναι οι φυσικές τους διευθύνσεις.
Η φυσική διεύθυνση είναι μοναδική· μπορεί να χρησιμοποιηθεί για τη συλλογή πληροφοριών σχετικά με τη γεωγραφική θέση του δρομολογητή κ.λπ., επομένως θα είναι κρυφή για τους σκοπούς αυτού του άρθρου.
Ο στόχος 1 προσθέτει την κύρια πύλη με τη διεύθυνση 192.168.xxx.1, ο στόχος 2 προσθέτει μία από τις άλλες διευθύνσεις.
Συστηνόμαστε στην πύλη ως κεντρικός υπολογιστής με τη διεύθυνση 192.168.xxx.204, αλλά με τη δική μας διεύθυνση MAC. Στη συνέχεια παρουσιάζουμε τον εαυτό μας στο δρομολογητή χρήστη ως πύλη με τη διεύθυνση 192.168.xxx.1 με το MAC του. Οι λεπτομέρειες αυτής της ευπάθειας πρωτοκόλλου ARP αναλύονται λεπτομερώς σε άλλα άρθρα που είναι εύκολα στην Google.
Ως αποτέλεσμα όλων των χειρισμών, έχουμε κίνηση από τους κεντρικούς υπολογιστές που περνάει από εμάς, έχοντας προηγουμένως ενεργοποιήσει την προώθηση πακέτων:
Ναι, το https χρησιμοποιείται ήδη σχεδόν παντού, αλλά το δίκτυο εξακολουθεί να είναι γεμάτο από άλλα μη ασφαλή πρωτόκολλα. Για παράδειγμα, το ίδιο DNS με επίθεση DNS-spoofing. Το ίδιο το γεγονός ότι μπορεί να πραγματοποιηθεί μια επίθεση MITM προκαλεί πολλές άλλες επιθέσεις. Τα πράγματα χειροτερεύουν όταν υπάρχουν αρκετές δεκάδες ενεργοί κεντρικοί υπολογιστές διαθέσιμοι στο δίκτυο. Αξίζει να ληφθεί υπόψη ότι πρόκειται για τον ιδιωτικό τομέα, όχι για ένα εταιρικό δίκτυο και δεν έχουν όλοι μέτρα προστασίας για τον εντοπισμό και την αντιμετώπιση σχετικών επιθέσεων.
Πώς να το αποφύγετε
Ο πάροχος θα πρέπει να ανησυχεί για αυτό το πρόβλημα· η ρύθμιση προστασίας από τέτοιες επιθέσεις είναι πολύ απλή, στην περίπτωση του ίδιου μεταγωγέα Cisco.
Η ενεργοποίηση του Dynamic ARP Inspection (DAI) θα αποτρέψει την πλαστογράφηση της διεύθυνσης MAC της κύριας πύλης. Η διάσπαση του τομέα μετάδοσης σε μικρότερα τμήματα εμπόδισε τουλάχιστον την επισκεψιμότητα ARP να εξαπλωθεί σε όλους τους κεντρικούς υπολογιστές στη σειρά και να μειώσει τον αριθμό των κεντρικών υπολογιστών που θα μπορούσαν να δεχτούν επίθεση. Ο πελάτης, με τη σειρά του, μπορεί να προστατευτεί από τέτοιους χειρισμούς εγκαθιστώντας ένα VPN απευθείας στον οικιακό του δρομολογητή· οι περισσότερες συσκευές υποστηρίζουν ήδη αυτήν τη λειτουργία.
Ευρήματα
Πιθανότατα, οι πάροχοι δεν ενδιαφέρονται για αυτό· όλες οι προσπάθειες στοχεύουν στην αύξηση του αριθμού των πελατών. Αυτό το υλικό δεν γράφτηκε για να δείξει μια επίθεση, αλλά για να σας υπενθυμίσει ότι ακόμη και το δίκτυο του παρόχου σας μπορεί να μην είναι πολύ ασφαλές για τη μετάδοση των δεδομένων σας. Είμαι βέβαιος ότι υπάρχουν πολλοί μικροί περιφερειακοί πάροχοι υπηρεσιών Διαδικτύου που δεν έχουν κάνει τίποτα περισσότερο από το απαραίτητο για τη λειτουργία βασικού εξοπλισμού δικτύου.
Πηγή: www.habr.com