حمله Mitm در مقیاس یک ساختمان آپارتمانی

امروزه بسیاری از شرکت ها نگران اطمینان از امنیت اطلاعات زیرساخت خود هستند، برخی به درخواست اسناد نظارتی این کار را انجام می دهند و برخی از همان لحظه وقوع اولین حادثه این کار را انجام می دهند. روندهای اخیر نشان می دهد که تعداد حوادث در حال افزایش است و خود حملات پیچیده تر می شوند. اما لازم نیست دور بروید، خطر بسیار نزدیکتر است. این بار می خواهم موضوع امنیت ارائه دهنده اینترنت را مطرح کنم. پست‌هایی در Habré وجود دارد که این موضوع را در سطح برنامه مورد بحث قرار داده است. این مقاله بر امنیت در سطوح شبکه و پیوند داده تمرکز خواهد کرد.

چگونه همه شروع شد

چندی پیش اینترنت از یک ارائه دهنده جدید در آپارتمان نصب شد، قبلاً خدمات اینترنت با فناوری ADSL به آپارتمان ارائه می شد. از آنجایی که من زمان کمی را در خانه می گذرانم، اینترنت موبایل تقاضای بیشتری نسبت به اینترنت خانگی داشت. با انتقال به کار از راه دور، تصمیم گرفتم که سرعت 50-60 مگابیت بر ثانیه برای اینترنت خانگی به سادگی کافی نیست و تصمیم گرفتم سرعت را افزایش دهم. با فناوری ADSL به دلایل فنی امکان افزایش سرعت بالای 60 مگابیت بر ثانیه وجود ندارد. تصمیم گرفته شد به ارائه دهنده دیگری با سرعت اعلام شده متفاوت و با ارائه خدمات غیر از طریق ADSL سوئیچ شود.

می توانست چیز دیگری باشد

با نماینده ارائه دهنده اینترنت تماس گرفت. نصاب ها آمدند، در آپارتمان سوراخ کردند و یک پچ کورد RJ-45 نصب کردند. آنها توافق نامه و دستورالعمل هایی را در مورد تنظیمات شبکه که باید روی روتر تنظیم شوند (IP اختصاصی، دروازه، ماسک زیر شبکه و آدرس های IP DNS آنها) به من دادند، برای ماه اول کار پرداخت کردند و رفتند. وقتی تنظیمات شبکه ای که به من داده شده بود را وارد روتر خانه ام کردم، اینترنت وارد آپارتمان شد. روش ورود اولیه مشترک جدید به شبکه برای من خیلی ساده به نظر می رسید. هیچ مجوز اولیه ای انجام نشد و شناسه من آدرس IP بود که به من داده شده بود. اینترنت سریع و پایدار کار می کرد.روتر وای فای در آپارتمان وجود داشت و از طریق دیوار باربر سرعت اتصال کمی کاهش یافت. یک روز، من نیاز به دانلود فایلی به اندازه دو دوجین گیگابایت داشتم. من فکر کردم، چرا RJ-45 را که به آپارتمان می رود مستقیماً به رایانه شخصی وصل نکنم.

همسایه خود را بشناس

با دانلود کل فایل، تصمیم گرفتم با همسایگان سوکت سوئیچ بهتر آشنا شوم.

در ساختمان‌های آپارتمانی، اگر ابتدایی‌ترین نمودار اتصال را در نظر بگیریم، در ساختمان‌های آپارتمانی، اتصال اینترنت اغلب از طریق فیبر نوری از ارائه‌دهنده می‌آید، به داخل کمد سیم‌کشی به یکی از سوئیچ‌ها می‌رود و از طریق کابل‌های اترنت بین ورودی‌ها و آپارتمان‌ها توزیع می‌شود. بله، در حال حاضر یک فناوری وجود دارد که در آن اپتیک مستقیماً به آپارتمان (GPON) می رود، اما این هنوز گسترده نشده است.

اگر توپولوژی بسیار ساده شده ای را در مقیاس یک خانه در نظر بگیریم، چیزی شبیه به این می شود:

به نظر می رسد که مشتریان این ارائه دهنده، برخی از آپارتمان های همسایه، در همان شبکه محلی روی همان تجهیزات سوئیچینگ کار می کنند.

با فعال کردن گوش دادن در رابطی که مستقیماً به شبکه ارائه دهنده متصل است، می توانید ترافیک پخش ARP را که از همه میزبان های شبکه پخش می شود، مشاهده کنید.

ارائه‌دهنده تصمیم گرفت که با تقسیم شبکه به بخش‌های کوچک بیش از حد خود را خسته نکند، بنابراین ترافیک پخش از 253 میزبان می‌تواند در یک سوئیچ جریان داشته باشد، بدون احتساب موارد خاموش، و در نتیجه پهنای باند کانال را مسدود می‌کند.

پس از اسکن شبکه با استفاده از nmap، تعداد میزبان های فعال را از کل مجموعه آدرس، نسخه نرم افزار و پورت های باز سوئیچ اصلی تعیین کردیم:

ARP و ARP-spoofing کجاست؟

برای انجام اقدامات بعدی، از ابزار گرافیکی ettercap استفاده شد؛ آنالوگ های مدرن تری وجود دارد، اما این نرم افزار با رابط گرافیکی اولیه و سهولت استفاده خود را جذب می کند.

در ستون اول آدرس های IP تمام روترهایی که به پینگ پاسخ داده اند و در ستون دوم آدرس های فیزیکی آنها است.

آدرس فیزیکی منحصر به فرد است؛ می توان از آن برای جمع آوری اطلاعات در مورد موقعیت جغرافیایی روتر و غیره استفاده کرد، بنابراین برای اهداف این مقاله پنهان خواهد شد.

هدف 1 دروازه اصلی را با آدرس 192.168.xxx.1 اضافه می کند، هدف 2 یکی از آدرس های دیگر را اضافه می کند.

ما خود را به عنوان میزبان با آدرس 192.168.xxx.204 اما با آدرس MAC خودمان به گیت وی معرفی می کنیم. سپس خود را به عنوان یک دروازه با آدرس 192.168.xxx.1 به همراه MAC خود به روتر کاربر معرفی می کنیم. جزئیات این آسیب پذیری پروتکل ARP در مقالات دیگری که برای گوگل آسان است به تفصیل مورد بحث قرار گرفته است.

در نتیجه تمام دستکاری‌ها، ما ترافیکی از میزبان‌ها داریم که از طریق ما عبور می‌کنند و قبلاً ارسال بسته را فعال کرده‌ایم:

بله، https در حال حاضر تقریبا در همه جا استفاده می شود، اما شبکه هنوز پر از پروتکل های ناامن دیگر است. به عنوان مثال، همان DNS با حمله DNS-spoofing. این واقعیت که یک حمله MITM می تواند انجام شود، باعث ایجاد بسیاری از حملات دیگر می شود. وقتی چندین هاست فعال در شبکه موجود باشد، اوضاع بدتر می شود. شایان ذکر است که این بخش خصوصی است، نه یک شبکه شرکتی، و همه اقدامات حفاظتی برای شناسایی و مقابله با حملات مرتبط ندارند.

چگونه از آن اجتناب کنیم

ارائه دهنده باید نگران این مشکل باشد؛ راه اندازی حفاظت در برابر چنین حملاتی در مورد همان سوئیچ سیسکو بسیار ساده است.

فعال کردن بازرسی دینامیک ARP (DAI) از جعل آدرس MAC دروازه اصلی جلوگیری می کند. شکستن دامنه پخش به بخش‌های کوچک‌تر، حداقل از انتشار ترافیک ARP به همه میزبان‌ها و کاهش تعداد میزبان‌هایی که می‌توان به آنها حمله کرد، جلوگیری کرد. مشتری نیز به نوبه خود می تواند با راه اندازی VPN مستقیماً روی روتر خانگی خود از خود در برابر چنین دستکاری محافظت کند؛ اکثر دستگاه ها از قبل از این قابلیت پشتیبانی می کنند.

یافته ها

به احتمال زیاد، ارائه دهندگان به این موضوع اهمیت نمی دهند؛ تمام تلاش ها در جهت افزایش تعداد مشتریان است. این مطالب برای نشان دادن یک حمله نوشته نشده است، بلکه به شما یادآوری می کند که حتی شبکه ارائه دهنده شما ممکن است برای انتقال داده های شما چندان ایمن نباشد. من مطمئن هستم که بسیاری از ارائه دهندگان خدمات اینترنت منطقه ای کوچکی وجود دارند که برای اجرای تجهیزات اولیه شبکه کاری بیش از آنچه لازم است انجام نداده اند.

منبع: www.habr.com