Multaj kompanioj hodiaŭ zorgas pri certigi la informan sekurecon de sia infrastrukturo, iuj faras tion laŭ la peto de reguligaj dokumentoj, kaj iuj faras tion ekde la momento kiam okazas la unua okazaĵo. Lastatempaj tendencoj montras, ke la nombro da okazaĵoj kreskas, kaj la atakoj mem iĝas pli kompleksaj. Sed vi ne bezonas iri malproksimen, la danĝero estas multe pli proksima. Ĉi-foje mi ŝatus levi la temon pri sekureco de interreta provizanto. Estas afiŝoj pri Habré, kiuj diskutis ĉi tiun temon ĉe la aplika nivelo. Ĉi tiu artikolo fokusiĝos pri sekureco ĉe la reto kaj datumliga niveloj.
Kiel ĉio komencis
Antaŭ iom da tempo, Interreto estis instalita en la apartamento de nova provizanto; antaŭe, Interretaj servoj estis liveritaj al la apartamento per ADSL-teknologio. Ĉar mi pasigas malmulte da tempo hejme, movebla Interreto estis pli postulata ol hejma Interreto. Kun la transiro al fora laboro, mi decidis, ke la rapideco de 50-60 Mb/s por hejma Interreto simple ne sufiĉas kaj decidis pliigi la rapidecon. Per la teknologio ADSL, pro teknikaj kialoj, ne eblas pliigi la rapidon super 60 Mb/s. Estis decidite ŝanĝi al alia provizanto kun malsama deklarita rapideco kaj kun liverado de servoj ne per ADSL.
Povus esti io malsama
Kontaktis reprezentanton de la interreta provizanto. La instalistoj venis, boris truon en la loĝejon, kaj instalis RJ-45 flikŝnureton. Ili donis al mi interkonsenton kaj instrukciojn pri la retaj agordoj, kiujn oni devas agordi sur la enkursigilo (diligenta IP, enirejo, subreta masko kaj IP-adresoj de ilia DNS), prenis pagon por la unua monato de laboro kaj foriris. Kiam mi eniris la retajn agordojn donitajn al mi en mian hejman enkursigilon, la Interreto eksplodis en la apartamenton. La procedo por la komenca ensaluto de nova abonanto al la reto ŝajnis al mi tro simpla. Neniu ĉefa rajtigo estis farita, kaj mia identigilo estis la IP-adreso donita al mi. Interreto funkciis rapide kaj stabile.En la apartamento estis wifi-enkursigilo kaj tra la ŝarĝa muro la konektorapideco iomete malpliiĝis. Iun tagon, mi bezonis elŝuti dosieron je du dekduoj da gigabajtoj. Mi pensis, kial ne konekti la RJ-45 irante al la apartamento rekte al la komputilo.
Konu vian proksimulon
Elŝutinte la tutan dosieron, mi decidis pli bone koni la najbarojn en la ŝaltiloj.
En etaĝkonstruaĵoj, la interreta konekto ofte venas de la provizanto per optika fibro, iras en la drataran ŝrankon en unu el la ŝaltiloj kaj estas distribuita inter enirejoj kaj apartamentoj per Ethernet-kabloj, se ni konsideras la plej primitivan konekton-diagramon. Jes, jam ekzistas teknologio, kie optiko iras rekte al la apartamento (GPON), sed ĉi tio ankoraŭ ne estas disvastigita.
Se ni prenas tre simpligitan topologion sur la skalo de unu domo, ĝi aspektas kiel ĉi tio:
Rezultas, ke la klientoj de ĉi tiu provizanto, iuj najbaraj apartamentoj, laboras en la sama loka reto sur la sama ŝanĝa ekipaĵo.
Ebligante aŭskultadon sur interfaco konektita rekte al la reto de la provizanto, vi povas vidi elsendan ARP-trafikon flugantan de ĉiuj gastigantoj en la reto.
La provizanto decidis ne tro ĝeni per dividado de la reto en malgrandajn segmentojn, do elsenda trafiko de 253 gastigantoj povus flui ene de unu ŝaltilo, ne kalkulante tiujn kiuj estis malŝaltitaj, tiel ŝtopante la kanalan bendolarĝon.
Skaninte la reton per nmap, ni determinis la nombron da aktivaj gastigantoj de la tuta adresa aro, la programaro-versio kaj malfermitaj havenoj de la ĉefa ŝaltilo:
Kaj kie estas ARP tie kaj ARP-spoofing
Por efektivigi pliajn agojn, oni uzis la ettercap-grafikan ilon; ekzistas ankaŭ pli modernaj analogoj, sed ĉi tiu programaro allogas per sia primitiva grafika interfaco kaj facileco de uzo.
En la unua kolumno estas la IP-adresoj de ĉiuj enkursigiloj, kiuj respondis al la ping, en la dua estas iliaj fizikaj adresoj.
La fizika adreso estas unika; ĝi povas esti uzata por kolekti informojn pri la geografia loko de la enkursigilo ktp., do ĝi estos kaŝita por la celoj de ĉi tiu artikolo.
Celo 1 aldonas la ĉefan enirejon kun la adreso 192.168.xxx.1, celo 2 aldonas unu el la aliaj adresoj.
Ni prezentas nin al la enirejo kiel gastiganto kun la adreso 192.168.xxx.204, sed kun nia propra MAC-adreso. Tiam ni prezentas nin al la uzanta enkursigilo kiel enirejo kun la adreso 192.168.xxx.1 kun ĝia MAC. La detaloj de ĉi tiu vundebleco de ARP-protokolo estas detale diskutitaj en aliaj artikoloj, kiuj estas facilaj por Guglo.
Kiel rezulto de ĉiuj manipuladoj, ni havas trafikon de la gastigantoj, kiuj trairas nin, antaŭe ebligis pakaĵeton:
Jes, https jam estas uzata preskaŭ ĉie, sed la reto ankoraŭ estas plena de aliaj nesekurigitaj protokoloj. Ekzemple, la sama DNS kun DNS-spoofing atako. La fakto mem, ke MITM-atako povas esti farita, kaŭzas multajn aliajn atakojn. Aferoj plimalboniĝas kiam ekzistas pluraj dekoj da aktivaj gastigantoj disponeblaj en la reto. Indas konsideri, ke ĉi tio estas la privata sektoro, ne kompania reto, kaj ne ĉiuj havas protektajn rimedojn por detekti kaj kontraŭstari rilatajn atakojn.
Kiel eviti ĝin
La provizanto devas zorgi pri ĉi tiu problemo; agordi protekton kontraŭ tiaj atakoj estas tre simpla, en la kazo de la sama Cisco-ŝaltilo.
Ebligi Dynamic ARP Inspection (DAI) malebligus ke la majstra enirejo MAC-adreso estu falsita. Rompi la elsendodomajnon en pli malgrandajn segmentojn malhelpis almenaŭ ARP-trafikon disvastiĝi al ĉiuj gastigantoj en vico kaj redukti la nombron da gastigantoj kiuj povus esti atakitaj. La kliento, siavice, povas protekti sin kontraŭ tiaj manipuladoj instalante VPN rekte sur sia hejma enkursigilo; plej multaj aparatoj jam subtenas ĉi tiun funkcion.
trovoj
Plej verŝajne, provizantoj ne zorgas pri tio; ĉiuj klopodoj celas pliigi la nombron da klientoj. Ĉi tiu materialo ne estis skribita por pruvi atakon, sed por memorigi vin, ke eĉ la reto de via provizanto eble ne estas tre sekura por transdoni viajn datumojn. Mi certas, ke ekzistas multaj malgrandaj regionaj interretaj provizantoj, kiuj faris nenion pli ol necesas por funkciigi bazajn retajn ekipaĵojn.
fonto: www.habr.com