Hoy en día, muchas empresas se preocupan por garantizar la seguridad de la información de su infraestructura, algunas lo hacen a petición de documentos reglamentarios y otras desde el momento en que ocurre el primer incidente. Las tendencias recientes muestran que el número de incidentes está aumentando y los ataques en sí se están volviendo más sofisticados. Pero no hace falta ir muy lejos, el peligro está mucho más cerca. En esta ocasión me gustaría plantear el tema de la seguridad de los proveedores de Internet. Hay publicaciones en Habré que discuten este tema a nivel de aplicación. Este artículo se centrará en la seguridad a nivel de red y enlace de datos.
С чего все началось
Hace algún tiempo en el apartamento se instaló Internet de un nuevo proveedor, anteriormente los servicios de Internet se entregaban al apartamento mediante tecnología ADSL. Como paso poco tiempo en casa, Internet móvil tenía más demanda que Internet residencial. Con la transición al trabajo remoto, decidí que la velocidad de 50-60 Mb/s para Internet en casa simplemente no era suficiente y decidí aumentar la velocidad. Con la tecnología ADSL, por motivos técnicos, no es posible aumentar la velocidad por encima de los 60 Mb/s. Se decidió cambiar a otro proveedor con otra velocidad declarada y con prestación de servicios no vía ADSL.
Podría haber sido algo diferente
Se puso en contacto con un representante del proveedor de Internet. Los instaladores vinieron, perforaron un agujero en el apartamento e instalaron un cable de conexión RJ-45. Me dieron un acuerdo e instrucciones con la configuración de red que se debe configurar en el enrutador (IP dedicada, puerta de enlace, máscara de subred y direcciones IP de sus DNS), cobraron el primer mes de trabajo y se fueron. Cuando ingresé la configuración de red que me dieron en el enrutador de mi casa, Internet irrumpió en el apartamento. El procedimiento para el inicio de sesión inicial de un nuevo suscriptor en la red me pareció demasiado simple. No se realizó ninguna autorización principal y mi identificador fue la dirección IP que me proporcionaron. Internet funcionó de forma rápida y estable, había un enrutador wifi en el apartamento y a través del muro de carga la velocidad de conexión bajó un poco. Un día necesitaba descargar un archivo que medía dos docenas de gigabytes. Pensé, ¿por qué no conectar el RJ-45 que va al apartamento directamente a la PC?
conoce a tu prójimo
Después de descargar el archivo completo, decidí conocer mejor a los vecinos en los enchufes del interruptor.
En los edificios de apartamentos, la conexión a Internet a menudo proviene del proveedor a través de fibra óptica, va al armario de cableado en uno de los interruptores y se distribuye entre las entradas y los apartamentos a través de cables Ethernet, si consideramos el diagrama de conexión más primitivo. Sí, ya existe una tecnología en la que la óptica va directamente al apartamento (GPON), pero aún no está muy extendida.
Si tomamos una topología muy simplificada en la escala de una casa, se parece a esto:
Resulta que los clientes de este proveedor, algunos apartamentos vecinos, trabajan en la misma red local con el mismo equipo de conmutación.
Al habilitar la escucha en una interfaz conectada directamente a la red del proveedor, puede ver el tráfico ARP transmitido desde todos los hosts de la red.
El proveedor decidió no molestarse demasiado en dividir la red en pequeños segmentos, por lo que el tráfico de transmisión de 253 hosts podría fluir dentro de un conmutador, sin contar aquellos que estaban apagados, obstruyendo así el ancho de banda del canal.
Después de escanear la red usando nmap, determinamos la cantidad de hosts activos de todo el grupo de direcciones, la versión del software y los puertos abiertos del conmutador principal:
¿Y dónde está ARP y la suplantación de ARP?
Para llevar a cabo acciones adicionales se utilizó la utilidad gráfica ettercap, también hay análogos más modernos, pero este software atrae por su interfaz gráfica primitiva y su facilidad de uso.
En la primera columna están las direcciones IP de todos los enrutadores que respondieron al ping, en la segunda están sus direcciones físicas.
La dirección física es única, se puede utilizar para recopilar información sobre la ubicación geográfica del enrutador, etc., por lo que estará oculta para los fines de este artículo.
El objetivo 1 agrega la puerta de enlace principal con la dirección 192.168.xxx.1, el objetivo 2 agrega una de las otras direcciones.
Nos presentamos al gateway como host con la dirección 192.168.xxx.204, pero con nuestra propia dirección MAC. Luego nos presentamos al router del usuario como puerta de enlace con la dirección 192.168.xxx.1 con su MAC. Los detalles de esta vulnerabilidad del protocolo ARP se analizan en detalle en otros artículos que son fáciles de encontrar en Google.
Como resultado de todas las manipulaciones, tenemos tráfico de los hosts que pasa a través de nosotros, habiendo habilitado previamente el reenvío de paquetes:
Sí, https ya se utiliza en casi todas partes, pero la red todavía está llena de otros protocolos no seguros. Por ejemplo, el mismo DNS con un ataque de suplantación de DNS. El mero hecho de que se pueda llevar a cabo un ataque MITM da lugar a muchos otros ataques. Las cosas empeoran cuando hay varias docenas de hosts activos disponibles en la red. Vale la pena considerar que este es el sector privado, no una red corporativa, y no todos tienen medidas de protección para detectar y contrarrestar los ataques relacionados.
como evitarlo
El proveedor debería preocuparse por este problema; configurar la protección contra este tipo de ataques es muy sencillo, en el caso del mismo conmutador Cisco.
Habilitar la inspección dinámica de ARP (DAI) evitaría que se falsifique la dirección MAC de la puerta de enlace maestra. Dividir el dominio de transmisión en segmentos más pequeños evitó que al menos el tráfico ARP se extendiera a todos los hosts seguidos y redujo la cantidad de hosts que podrían ser atacados. El cliente, a su vez, puede protegerse de tales manipulaciones configurando una VPN directamente en el enrutador de su casa; la mayoría de los dispositivos ya admiten esta funcionalidad.
Hallazgos
Lo más probable es que a los proveedores esto no les importe, todos los esfuerzos están dirigidos a aumentar el número de clientes. Este material no fue escrito para demostrar un ataque, sino para recordarle que incluso la red de su proveedor puede no ser muy segura para transmitir sus datos. Estoy seguro de que hay muchos pequeños proveedores de servicios de Internet regionales que no han hecho nada más de lo necesario para ejecutar el equipo de red básico.
Fuente: habr.com