Monet yritykset ovat nykyään huolissaan infrastruktuurinsa tietoturvan varmistamisesta, jotkut tekevät tämän säädösasiakirjojen pyynnöstä ja jotkut tekevät tämän heti ensimmäisestä tapauksesta lähtien. Viimeaikaiset trendit osoittavat, että tapausten määrä on kasvussa ja itse hyökkäykset kehittyvät entistä kehittyneemmiksi. Mutta sinun ei tarvitse mennä kauas, vaara on paljon lähempänä. Tällä kertaa haluan nostaa esiin Internet-palveluntarjoajan turvallisuuden. Habréssa on viestejä, jotka keskustelivat tästä aiheesta sovellustasolla. Tässä artikkelissa keskitytään tietoturvaan verkko- ja datalinkkien tasolla.
Miten kaikki alkoi
Jokin aika sitten asuntoon asennettiin netti uudelta palveluntarjoajalta, aiemmin nettipalvelut toimitettiin asuntoon ADSL-tekniikalla. Koska vietän vähän aikaa kotona, mobiili-internet oli kysytympi kuin koti-internet. Etätyöhön siirtymisen myötä päätin, että 50-60 Mb/s koti-Internetin nopeus ei yksinkertaisesti riitä ja päätin lisätä nopeutta. ADSL-tekniikalla ei teknisistä syistä ole mahdollista nostaa nopeutta yli 60 Mb/s. Päätettiin vaihtaa toiseen palveluntarjoajaan, jolla on eri ilmoitettu nopeus ja palveluja tarjotaan muualla kuin ADSL:n kautta.
Se olisi voinut olla jotain muuta
Oti yhteyttä Internet-palveluntarjoajan edustajaan. Asentajat tulivat, porasivat reiän asuntoon ja asensivat RJ-45 liitäntäjohdon. He antoivat minulle sopimuksen ja ohjeet verkkoasetuksista, jotka on asetettava reitittimeen (omistettu IP, yhdyskäytävä, aliverkon peite ja heidän DNS-osoitteensa IP-osoitteet), ottivat maksun ensimmäisen kuukauden työstä ja lähtivät. Kun syötin minulle annetut verkkoasetukset kotireitittimeeni, internet tunkeutui asuntoon. Uuden tilaajan ensimmäinen kirjautuminen verkkoon näytti minusta liian yksinkertaiselta. Ensisijaista valtuutusta ei suoritettu, ja tunnukseni oli minulle annettu IP-osoite. Netti toimi nopeasti ja vakaasti Asunnossa oli wifi reititin ja kantavan seinän läpi yhteys nopeus laski hieman. Eräänä päivänä minun piti ladata tiedosto, jonka koko oli kaksi tusinaa gigatavua. Ajattelin, että miksi et yhdistäisi asuntoon menevää RJ-45:tä suoraan PC:hen.
Tunne lähimmäisesi
Ladattuani koko tiedoston, päätin tutustua paremmin kytkimien naapureihin.
Kerrostaloissa Internet-yhteys tulee usein palveluntarjoajalta valokuidun kautta, menee johtokaappiin johonkin kytkimestä ja jaetaan ethernet-kaapeleilla sisäänkäyntien ja asuntojen välillä, jos ajatellaan alkeellisinta kytkentäkaaviota. Kyllä, on jo olemassa tekniikkaa, jossa optiikka menee suoraan asuntoon (GPON), mutta tämä ei ole vielä yleistä.
Jos otamme hyvin yksinkertaistetun topologian yhden talon mittakaavassa, se näyttää suunnilleen tältä:
Osoittautuu, että tämän palveluntarjoajan asiakkaat, jotkut naapurihuoneistot, työskentelevät samassa paikallisessa verkossa samoilla kytkentälaitteilla.
Kun otat kuuntelun käyttöön suoraan palveluntarjoajan verkkoon liitetyssä käyttöliittymässä, voit nähdä lähetettävän ARP-liikenteen lentävän kaikilta verkon isänniltä.
Palveluntarjoaja päätti olla vaivautumatta liikaa jakamaan verkkoa pieniin segmentteihin, joten lähetysliikenne 253 isännältä voisi virrata yhden kytkimen sisällä, lukuun ottamatta niitä, jotka oli sammutettu, mikä tukkii kanavan kaistanleveyden.
Skannattuamme verkon nmap-sovelluksella määritimme aktiivisten isäntien määrän koko osoitejoukosta, ohjelmistoversion ja pääkytkimen avoimet portit:
Ja missä on ARP ja ARP-huijaus
Jatkotoimiin käytettiin etrcap-graafista apuohjelmaa, on olemassa myös nykyaikaisempia analogeja, mutta tämä ohjelmisto houkuttelee primitiivisellä graafisella käyttöliittymällään ja helppokäyttöisyydellään.
Ensimmäisessä sarakkeessa ovat kaikkien pingiin vastanneiden reitittimien IP-osoitteet, toisessa niiden fyysiset osoitteet.
Fyysinen osoite on ainutlaatuinen; sitä voidaan käyttää keräämään tietoja reitittimen maantieteellisestä sijainnista jne., joten se piilotetaan tämän artikkelin tarkoituksia varten.
Tavoite 1 lisää pääyhdyskäytävän osoitteella 192.168.xxx.1, tavoite 2 lisää yhden muista osoitteista.
Esittelemme itsemme yhdyskäytävälle isäntänä osoitteella 192.168.xxx.204, mutta omalla MAC-osoitteellamme. Sitten esittelemme itsemme käyttäjän reitittimelle yhdyskäytävänä, jonka osoite on 192.168.xxx.1 ja sen MAC. Tämän ARP-protokollan haavoittuvuuden yksityiskohtia käsitellään yksityiskohtaisesti muissa artikkeleissa, jotka ovat helppoja Googlelle.
Kaikkien manipulointien seurauksena meillä on liikennettä isännistä, jotka kulkevat kauttamme, koska olemme aiemmin ottaneet käyttöön pakettien edelleenlähetyksen:
Kyllä, https on jo käytössä lähes kaikkialla, mutta verkko on silti täynnä muita suojaamattomia protokollia. Esimerkiksi sama DNS DNS-huijaushyökkäyksellä. Se tosiasia, että MITM-hyökkäys voidaan suorittaa, aiheuttaa monia muita hyökkäyksiä. Asiat pahenevat, kun verkossa on saatavilla useita kymmeniä aktiivisia isäntiä. On syytä ottaa huomioon, että kyseessä on yksityinen sektori, ei yritysverkko, eikä kaikilla ole suojatoimenpiteitä niihin liittyvien hyökkäysten havaitsemiseksi ja torjumiseksi.
Kuinka välttää se
Palveluntarjoajan pitäisi olla huolissaan tästä ongelmasta; suojauksen määrittäminen tällaisia hyökkäyksiä vastaan on hyvin yksinkertaista, jos kyseessä on sama Cisco-kytkin.
Dynamic ARP Inspection (DAI) -tarkistuksen ottaminen käyttöön estäisi pääyhdyskäytävän MAC-osoitteen huijauksen. Lähetysalueen jakaminen pienempiin segmentteihin esti ainakin ARP-liikenteen leviämisen kaikkiin isäntiin peräkkäin ja vähensi isäntien määrää, joihin hyökättiin. Asiakas puolestaan voi suojautua tällaisilta manipuloinneilta asettamalla VPN:n suoraan kotireitittimeensä; useimmat laitteet tukevat jo tätä toimintoa.
Tulokset
Todennäköisesti palveluntarjoajat eivät välitä tästä; kaikki ponnistelut pyritään lisäämään asiakkaiden määrää. Tätä materiaalia ei ole kirjoitettu havainnollistamaan hyökkäystä, vaan muistuttamaan sinua siitä, että edes palveluntarjoajasi verkko ei välttämättä ole kovin turvallinen tietojesi välittämiseen. Olen varma, että on monia pieniä alueellisia Internet-palveluntarjoajia, jotka eivät ole tehneet mitään muuta kuin on välttämätöntä perusverkkolaitteiden käyttämiseksi.
Lähde: will.com