De nombreuses entreprises sont aujourd'hui soucieuses d'assurer la sécurité des informations de leur infrastructure, certaines le font à la demande de documents réglementaires, et certaines le font dès le premier incident. Les tendances récentes montrent que le nombre d’incidents augmente et que les attaques elles-mêmes deviennent plus sophistiquées. Mais il n’est pas nécessaire d’aller loin, le danger est bien plus proche. Cette fois, je voudrais aborder le sujet de la sécurité des fournisseurs Internet. Il existe des articles sur Habré qui traitent de ce sujet au niveau de l'application. Cet article se concentrera sur la sécurité au niveau du réseau et des liaisons de données.
Comment tout a commencé
Il y a quelque temps, Internet a été installé dans l'appartement par un nouveau fournisseur, auparavant, les services Internet étaient fournis à l'appartement via la technologie ADSL. Comme je passe peu de temps à la maison, l'Internet mobile était plus demandé que l'Internet domestique. Avec la transition vers le travail à distance, j'ai décidé que la vitesse de 50 à 60 Mb/s pour l'Internet domestique n'était tout simplement pas suffisante et j'ai décidé d'augmenter la vitesse. Avec la technologie ADSL, pour des raisons techniques, il n'est pas possible d'augmenter le débit au-dessus de 60 Mb/s. Il a été décidé de passer à un autre fournisseur avec un débit déclaré différent et avec la fourniture de services non via ADSL.
Cela aurait pu être quelque chose de différent
J'ai contacté un représentant du fournisseur Internet. Les installateurs sont venus, ont percé un trou dans l'appartement et ont installé un cordon de brassage RJ-45. Ils m'ont donné un accord et des instructions sur les paramètres réseau qui doivent être définis sur le routeur (IP dédiée, passerelle, masque de sous-réseau et adresses IP de leur DNS), ont accepté le paiement du premier mois de travail et sont partis. Lorsque j'ai entré les paramètres réseau qui m'avaient été donnés sur mon routeur domestique, Internet a fait irruption dans l'appartement. La procédure de connexion initiale d'un nouvel abonné au réseau m'a semblé trop simple. Aucune autorisation principale n'a été effectuée et mon identifiant était l'adresse IP qui m'a été fournie. Internet fonctionnait rapidement et de manière stable. Il y avait un routeur wifi dans l'appartement et à travers le mur porteur, la vitesse de connexion a un peu baissé. Un jour, j'ai eu besoin de télécharger un fichier de deux douzaines de gigaoctets. J'ai pensé, pourquoi ne pas connecter le RJ-45 allant à l'appartement directement au PC.
Connais ton voisin
Après avoir téléchargé l'intégralité du fichier, j'ai décidé de mieux connaître les voisins des prises de courant.
Dans les immeubles d'habitation, la connexion Internet provient souvent du fournisseur via fibre optique, passe dans l'armoire électrique dans l'un des commutateurs et est distribuée entre les entrées et les appartements via des câbles Ethernet, si l'on considère le schéma de connexion le plus primitif. Oui, il existe déjà une technologie où l'optique va directement dans l'appartement (GPON), mais elle n'est pas encore répandue.
Si l’on prend une topologie très simplifiée à l’échelle d’une maison, elle ressemble à ceci :
Il s'avère que les clients de ce fournisseur, certains appartements voisins, travaillent dans le même réseau local sur le même équipement de commutation.
En activant l’écoute sur une interface connectée directement au réseau du fournisseur, vous pouvez voir le trafic ARP diffusé depuis tous les hôtes du réseau.
Le fournisseur a décidé de ne pas trop se soucier de diviser le réseau en petits segments, afin que le trafic de diffusion de 253 hôtes puisse circuler dans un seul commutateur, sans compter ceux qui étaient éteints, obstruant ainsi la bande passante du canal.
Après avoir analysé le réseau à l'aide de nmap, nous avons déterminé le nombre d'hôtes actifs de l'ensemble du pool d'adresses, la version du logiciel et les ports ouverts du commutateur principal :
Et où est l'ARP et l'usurpation d'ARP
Pour effectuer d'autres actions, l'utilitaire graphique ettercap a été utilisé, il existe des analogues plus modernes, mais ce logiciel séduit par son interface graphique primitive et sa facilité d'utilisation.
Dans la première colonne se trouvent les adresses IP de tous les routeurs qui ont répondu au ping, dans la seconde leurs adresses physiques.
L'adresse physique est unique ; elle peut être utilisée pour collecter des informations sur la localisation géographique du routeur, etc., elle sera donc masquée pour les besoins de cet article.
L'objectif 1 ajoute la passerelle principale avec l'adresse 192.168.xxx.1, l'objectif 2 ajoute l'une des autres adresses.
Nous nous présentons à la passerelle en tant qu'hôte avec l'adresse 192.168.xxx.204, mais avec notre propre adresse MAC. Ensuite, nous nous présentons au routeur utilisateur comme une passerelle avec l'adresse 192.168.xxx.1 avec son MAC. Les détails de cette vulnérabilité du protocole ARP sont abordés en détail dans d'autres articles faciles à consulter sur Google.
À la suite de toutes les manipulations, nous avons du trafic des hôtes qui passe par nous, après avoir préalablement activé le transfert de paquets :
Oui, https est déjà utilisé presque partout, mais le réseau regorge encore d’autres protocoles non sécurisés. Par exemple, le même DNS avec une attaque d'usurpation de DNS. Le fait même qu’une attaque MITM puisse être menée donne lieu à de nombreuses autres attaques. Les choses empirent lorsqu'il y a plusieurs dizaines d'hôtes actifs disponibles sur le réseau. Il convient de noter qu’il s’agit du secteur privé et non d’un réseau d’entreprise, et que tout le monde ne dispose pas de mesures de protection pour détecter et contrecarrer les attaques associées.
Comment l'éviter
Le fournisseur doit s'inquiéter de ce problème : la mise en place d'une protection contre de telles attaques est très simple, dans le cas du même commutateur Cisco.
L'activation de l'inspection dynamique ARP (DAI) empêcherait l'usurpation de l'adresse MAC de la passerelle principale. La division du domaine de diffusion en segments plus petits a empêché au moins le trafic ARP de se propager à tous les hôtes d'affilée et de réduire le nombre d'hôtes susceptibles d'être attaqués. Le client, à son tour, peut se protéger de telles manipulations en configurant un VPN directement sur son routeur domestique ; la plupart des appareils prennent déjà en charge cette fonctionnalité.
résultats
Très probablement, les prestataires ne s'en soucient pas : tous les efforts visent à augmenter le nombre de clients. Ce document n’a pas été rédigé pour démontrer une attaque, mais pour vous rappeler que même le réseau de votre fournisseur peut ne pas être très sécurisé pour la transmission de vos données. Je suis sûr qu'il existe de nombreux petits fournisseurs de services Internet régionaux qui n'ont fait que ce qui était nécessaire pour faire fonctionner l'équipement réseau de base.
Source: habr.com