Gaur egun enpresa asko beren azpiegituren informazioaren segurtasuna bermatzeaz arduratuta daude, batzuek arauzko dokumentuek eskatuta egiten dute hori, eta beste batzuek lehen gorabehera gertatzen den unetik. Azken joerek erakusten dute istilu kopurua hazten ari dela, eta erasoak beraiek gero eta sofistikatuagoak direla. Baina ez duzu urrutira joan behar, arriskua askoz gertuago dago. Oraingoan Interneteko hornitzailearen segurtasunaren gaia planteatu nahiko nuke. Aplikazio mailan gai hau eztabaidatzen duten HabrΓ©-ri buruzko argitalpenak daude. Artikulu honek sareko eta datu-lotura-mailetan segurtasuna izango du arreta.
Nola hasi zen dena?
Duela denbora pixka bat, hornitzaile berri batetik Internet instalatu zen apartamentuan; lehenago, Internet zerbitzuak etxebizitzara ematen ziren ADSL teknologia erabiliz. Etxean denbora gutxi ematen dudanez, Internet mugikorra etxeko Internet baino gehiago eskatzen zen. Urruneko lanera igarotzean, etxeko Interneterako 50-60 Mb/s-ko abiadura nahikoa ez zela erabaki nuen eta abiadura handitzea erabaki nuen. ADSL teknologiarekin, arrazoi teknikoengatik, ezin da abiadura 60 Mb/s-tik gora igo. Beste hornitzaile batera aldatzea erabaki zen, deklaratutako beste abiadura batekin eta ADSL bidez ez zerbitzuak ematearekin.
Zerbait ezberdina izan zitekeen
Interneteko hornitzailearen ordezkari batekin jarri da harremanetan. Instalatzaileak etorri ziren, zulo bat egin zuten apartamentuan eta RJ-45 adabaki kablea instalatu zuten. Bideratzailean ezarri behar diren sareko ezarpenekin hitzarmena eta argibideak eman zizkidaten (IP dedikatua, atea, azpisare-maskara eta beren DNSaren IP helbideak), laneko lehen hilabeteko ordainketa hartu eta alde egin zuten. Nire etxeko bideratzailean emandako sareko ezarpenak sartu nituenean, Internet apartamentuan sartu zen. Harpidedun berri batek sarean hasierako saioa hasteko prozedura sinpleegia iruditu zait. Ez da baimen nagusirik egin, eta nire identifikatzaile eman zidan IP helbidea izan da. Internetek azkar eta egonkor funtzionatu zuen.Apartamentuan wifi bideratzaile bat zegoen eta karga-hormaren bidez konexio abiadura pixka bat jaitsi zen. Egun batean, bi dozena gigabyte zituen fitxategi bat deskargatu behar nuen. Pentsatu nuen, zergatik ez konektatu RJ-45 apartamentura doan ordenagailura zuzenean.
Ezagutu zure hurkoa
Fitxategi osoa deskargatu eta gero, etengailuen entxufeetako bizilagunak hobeto ezagutzea erabaki nuen.
Apartamentu-eraikinetan, sarritan Internet konexioa hornitzailearengandik dator zuntz optikoaren bidez, kableatuaren armairuan sartzen da etengailuetako batean eta sarreren eta apartamentuen artean Ethernet kableen bidez banatzen da, konexio-eskema primitiboena kontuan hartzen badugu. Bai, dagoeneko badago teknologia bat non optika zuzenean apartamentura doan (GPON), baina hori oraindik ez dago hedatuta.
Etxe baten eskalan oso topologia sinplifikatua hartzen badugu, honelako itxura du:
Hornitzaile honen bezeroek, aldameneko apartamentu batzuek, sare lokal berean lan egiten dute kommutazio ekipo berean.
Hornitzailearen sarera zuzenean konektatutako interfaze batean entzutea gaituz gero, sareko ostalari guztietatik hegan egiten ari den ARP trafikoa ikus dezakezu.
Hornitzaileak sarea segmentu txikietan banatzearekin gehiegi ez kezkatzea erabaki zuen, beraz, 253 ostalariren igorpen-trafikoa etengailu baten barruan joan zitekeen, itzalita zeudenak zenbatu gabe, eta horrela kanalaren banda-zabalera oztopatzen zuen.
Sarea nmap erabiliz eskaneatu ondoren, helbide multzo osoko ostalari aktiboen kopurua, softwarearen bertsioa eta etengailu nagusiaren portu irekiak zehaztu ditugu:
Non dago ARP eta ARP-spoofing?
Ekintza gehiago egiteko, ettercap-erabilgarritasun grafikoa erabili zen; analogo modernoagoak daude, baina software honek bere interfaze grafiko primitiboarekin eta erabiltzeko erraztasunarekin erakartzen du.
Lehenengo zutabean ping-ari erantzun dioten bideratzaile guztien IP helbideak daude, bigarrenean haien helbide fisikoak.
Helbide fisikoa bakarra da; bideratzailearen kokapen geografikoari eta abarri buruzko informazioa biltzeko erabil daiteke, beraz, ezkutatu egingo da artikulu honen ondorioetarako.
1. helburuak atebide nagusia gehitzen du 192.168.xxx.1 helbidearekin, 2. helburuak beste helbideetako bat gehitzen du.
Atebidean ostalari gisa aurkezten gara 192.168.xxx.204 helbidearekin, baina gure MAC helbide propioarekin. Ondoren, erabiltzailearen bideratzaileari 192.168.xxx.1 helbidea duen atebide gisa aurkezten gara bere MACrekin. ARP protokoloaren ahultasun honen xehetasunak Google-ren errazak diren beste artikulu batzuetan zehatz-mehatz eztabaidatzen dira.
Manipulazio guztien ondorioz, gure bidez pasatzen diren ostalarien trafikoa dugu, aldez aurretik paketeen birbidaltzea gaituta:
Bai, https dagoeneko erabiltzen da ia nonahi, baina sarea oraindik ere seguru gabeko beste protokoloz beteta dago. Adibidez, DNS bera DNS-spoofing eraso batekin. MITM eraso bat egin ahal izateak beste eraso asko sortzen ditu. Gauzak okerrera egiten dute sarean hainbat dozena ostalari aktibo daudenean. Kontuan hartzekoa da sektore pribatua dela, ez enpresa-sare bat, eta guztiek ez dutela babes-neurririk lotutako erasoak detektatzeko eta aurre egiteko.
Nola saihestu
Hornitzaileak arazo honekin kezkatu beharko luke; eraso horien aurkako babesa konfiguratzea oso erraza da, Cisco etengailu beraren kasuan.
Dynamic ARP Inspection (DAI) gaitzeak atebide nagusiaren MAC helbidea faltsutzea eragotziko luke. Igorpen-domeinua zati txikiagoetan zatitzeak gutxienez ARP trafikoa ostalari guztietara jarraian hedatzea eragotzi zuen eta eraso zitekeen ostalari kopurua murriztea. Bezeroak, berriz, manipulazio horietatik babestu dezake VPN bat zuzenean bere etxeko bideratzailean konfiguratuz; gailu gehienek funtzionalitate hori onartzen dute.
Findings
Seguruenik, hornitzaileei ez zaie hori axola; ahalegin guztiak bezero kopurua handitzera zuzenduta daude. Material hau ez da eraso bat frogatzeko idatzi, zure hornitzailearen sarea ere agian ez dela oso segurua zure datuak transmititzeko gogorarazteko. Ziur nago eskualdeko Internet zerbitzu hornitzaile txiki asko daudela, oinarrizko sareko ekipamenduak exekutatzeko beharrezkoa dena baino ezer egin ez dutenak.
Iturria: www.habr.com