Paljud ettevõtted on tänapäeval mures oma infrastruktuuri infoturbe tagamise pärast, mõned teevad seda regulatiivsete dokumentide nõudmisel ja mõned teevad seda alates esimese intsidendi toimumisest. Viimase aja trendid näitavad, et vahejuhtumite arv kasvab ja rünnakud ise muutuvad keerukamaks. Kuid te ei pea minema kaugele, oht on palju lähemal. Seekord tõstaksin teemaks Interneti pakkuja turvalisuse. Habré's on postitusi, mis arutasid seda teemat rakenduse tasemel. See artikkel keskendub turvalisusele võrgu ja andmeside tasemel.
Kuidas see kõik algas?
Mõni aeg tagasi paigaldati korterisse internet uuelt pakkujalt, varem toodi internetiteenust korterisse ADSL tehnoloogia abil. Kuna veedan kodus vähe aega, oli mobiilne internet nõutum kui kodune internet. Kaugtööle üleminekuga otsustasin, et koduse interneti kiirusest 50-60 Mb/s lihtsalt ei piisa ja otsustasin kiirust suurendada. ADSL-tehnoloogiaga ei ole tehnilistel põhjustel võimalik kiirust tõsta üle 60 Mb/s. Otsustati minna üle teisele pakkujale, mille deklareeritud kiirus on erinev ja teenuseid osutatakse mitte ADSL-i kaudu.
See võis olla midagi muud
Võeti ühendust Interneti-teenuse pakkuja esindajaga. Paigaldajad tulid kohale, puurisid korterisse augu ja paigaldasid RJ-45 patch juhtme. Nad andsid mulle kokkuleppe ja juhised võrguseadetega, mis tuleb ruuteris seadistada (spetsiaalne IP, lüüs, alamvõrgumask ja nende DNS-i IP-aadressid), võtsid esimese töökuu eest tasu ja lahkusid. Kui sisestasin oma kodusesse ruuterisse mulle antud võrguseaded, puhkes korterisse internet. Uue abonendi esmase võrku sisselogimise protseduur tundus mulle liiga lihtne. Esmast autoriseerimist ei tehtud ja minu identifikaator oli mulle antud IP-aadress. Internet töötas kiiresti ja stabiilselt.Korteris oli wifi ruuter ja läbi kandva seina ühenduse kiirus veidi langes. Ühel päeval oli mul vaja alla laadida kahekümne gigabaidise fail. Mõtlesin, et miks mitte ühendada korterisse minev RJ-45 otse arvutiga.
Tunne oma ligimest
Olles kogu faili alla laadinud, otsustasin oma naabreid lülitipesades paremini tundma õppida.
Kortermajades tuleb internetiühendus sageli pakkujalt optilise kiu kaudu, läheb juhtmekappi ühte lülitisse ning jaotatakse Etherneti kaablite kaudu sissepääsude ja korterite vahel, kui arvestada kõige primitiivsemat ühendusskeemi. Jah, on juba olemas tehnoloogia, kus optika läheb otse korterisse (GPON), kuid see pole veel laialt levinud.
Kui võtta ühe maja skaalal väga lihtsustatud topoloogia, näeb see välja umbes selline:
Selgub, et selle pakkuja kliendid, mõned naaberkorterid, töötavad samas kohtvõrgus samadel lülitusseadmetel.
Kui lubate kuulamise otse teenusepakkuja võrguga ühendatud liidesel, näete ARP-liikluse leviedastust kõikidelt võrgu hostidelt.
Pakkuja otsustas võrgu väikesteks segmentideks jagamisega mitte liiga palju vaeva näha, nii et 253 hosti leviedastusliiklus saaks voolata ühe lüliti sees, arvestamata neid, mis olid välja lülitatud, ummistades seeläbi kanali ribalaiust.
Pärast võrgu skannimist nmapi abil määrasime aktiivsete hostide arvu kogu aadressikogust, tarkvaraversiooni ja pealüliti avatud pordid:
Kus on ARP ja ARP-spoofing?
Edasiste toimingute teostamiseks kasutati ettercap-graafilist utiliiti, on ka kaasaegsemaid analooge, kuid see tarkvara köidab oma primitiivse graafilise liidese ja kasutusmugavusega.
Esimeses veerus on kõigi pingile vastanud ruuterite IP-aadressid, teises on nende füüsilised aadressid.
Füüsiline aadress on ainulaadne; seda saab kasutada ruuteri geograafilise asukoha jms kohta teabe kogumiseks, seega peidetakse see käesoleva artikli jaoks.
1. eesmärk lisab peavärava aadressiga 192.168.xxx.1, eesmärk 2 lisab ühe muudest aadressidest.
Tutvustame end lüüsile hostina aadressiga 192.168.xxx.204, kuid oma MAC-aadressiga. Seejärel esitleme end kasutaja ruuterile lüüsina aadressiga 192.168.xxx.1 koos selle MAC-iga. Selle ARP-protokolli haavatavuse üksikasju käsitletakse üksikasjalikult teistes artiklites, mida on Google'ile lihtne kasutada.
Kõigi manipulatsioonide tulemusena on meil liiklust hostidelt, mis läbivad meid, olles eelnevalt lubanud pakettide edastamise:
Jah, https on juba kasutusel peaaegu kõikjal, kuid võrk on endiselt täis muid turvamata protokolle. Näiteks sama DNS DNS-i võltsimise rünnakuga. Juba ainuüksi asjaolu, et MITM-i rünnakut saab läbi viia, põhjustab palju muid rünnakuid. Asi läheb hullemaks, kui võrgus on saadaval mitukümmend aktiivset hosti. Tasub arvestada, et tegemist on erasektoriga, mitte korporatiivse võrguga ning kõigil pole kaitsemeetmeid sellega seotud rünnakute tuvastamiseks ja nende vastu võitlemiseks.
Kuidas seda vältida
Teenusepakkuja peaks selle probleemi pärast muretsema, sama Cisco lüliti puhul on selliste rünnakute vastu kaitse seadistamine väga lihtne.
Dynamic ARP Inspection (DAI) lubamine takistaks pealüüsi MAC-aadressi võltsimist. Edastusdomeeni jagamine väiksemateks segmentideks takistas vähemalt ARP-liikluse levikut kõikidele hostidele järjest ja vähendas rünnatavate hostide arvu. Klient omakorda saab end selliste manipulatsioonide eest kaitsta, seadistades VPN-i otse oma koduruuterisse, enamik seadmeid juba toetab seda funktsiooni.
Järeldused
Tõenäoliselt pakkujad sellest ei hooli, kõik jõupingutused on suunatud klientide arvu suurendamisele. See materjal ei ole kirjutatud rünnaku demonstreerimiseks, vaid selleks, et teile meelde tuletada, et isegi teie teenusepakkuja võrk ei pruugi teie andmete edastamiseks väga turvaline olla. Olen kindel, et on palju väikeseid piirkondlikke Interneti-teenuse pakkujaid, kes pole põhivõrguseadmete käitamiseks midagi muud teinud, kui on vaja.
Allikas: www.habr.com