Moitas empresas hoxe en día preocúpanse por garantir a seguridade da información da súa infraestrutura, algunhas fano a petición dos documentos normativos e outras desde o momento en que se produce o primeiro incidente. As tendencias recentes mostran que o número de incidentes está crecendo, e os propios ataques son cada vez máis sofisticados. Pero non é preciso ir lonxe, o perigo está moito máis preto. Nesta ocasión gustaríame plantexar o tema da seguridade dos provedores de Internet. Hai publicacións en Habré que discutían este tema a nivel de aplicación. Este artigo centrarase na seguridade a nivel de rede e enlace de datos.
Como comezou todo
Hai tempo instalouse Internet no apartamento dun novo provedor; anteriormente, os servizos de Internet ofrecíanse no apartamento mediante tecnoloxía ADSL. Como paso pouco tempo na casa, Internet móbil era máis demandado que Internet doméstico. Coa transición ao traballo remoto, decidín que a velocidade de 50-60 Mb/s para Internet doméstico simplemente non era suficiente e decidín aumentar a velocidade. Coa tecnoloxía ADSL, por razóns técnicas, non é posible aumentar a velocidade por riba dos 60 Mb/s. Decidiuse cambiar a outro provedor cunha velocidade declarada diferente e coa prestación de servizos non vía ADSL.
Podería ser algo diferente
Contactou cun representante do provedor de Internet. Os instaladores viñeron, perforaron un burato no apartamento e instalaron un cable de conexión RJ-45. Déronme un acordo e instrucións coa configuración de rede que hai que configurar no enrutador (IP dedicada, pasarela, máscara de subrede e enderezos IP do seu DNS), pagaron o primeiro mes de traballo e marcharon. Cando entrei a configuración de rede que me deron no meu enrutador doméstico, Internet entrou no apartamento. O procedemento para o inicio de sesión inicial dun novo subscritor na rede pareceume demasiado sinxelo. Non se realizou ningunha autorización principal e o meu identificador foi o enderezo IP que se me proporcionou. Internet funcionaba de forma rápida e estable.Había un router wifi no apartamento e a través do muro de carga baixaba un pouco a velocidade da conexión. Un día, necesitaba descargar un ficheiro que medía dúas ducias de gigabytes. Pensei, por que non conectar o RJ-45 que vai ao apartamento directamente ao PC.
Coñece ao teu veciño
Despois de descargar o ficheiro completo, decidín coñecer mellor aos veciños dos enchufes do interruptor.
Nos edificios de vivendas, a conexión a Internet adoita proceder do provedor a través de fibra óptica, entra no armario de cableado nun dos interruptores e distribúese entre entradas e apartamentos mediante cables Ethernet, se temos en conta o esquema de conexión máis primitivo. Si, xa existe unha tecnoloxía onde a óptica vai directamente ao apartamento (GPON), pero esta aínda non está moi estendida.
Se tomamos unha topoloxía moi simplificada a escala dunha casa, parece algo así:
Resulta que os clientes deste provedor, algúns pisos veciños, traballan na mesma rede local no mesmo equipo de conmutación.
Ao habilitar a escoita nunha interface conectada directamente á rede do provedor, podes ver o tráfico ARP emitido voando desde todos os hosts da rede.
O provedor decidiu non preocuparse demasiado en dividir a rede en pequenos segmentos, polo que o tráfico de difusión de 253 hosts podería fluír dentro dun interruptor, sen contar os que estaban desactivados, obstruíndo así o ancho de banda da canle.
Despois de escanear a rede mediante nmap, determinamos o número de hosts activos de todo o conxunto de enderezos, a versión do software e os portos abertos do interruptor principal:
Onde está ARP e ARP-spoofing?
Para realizar máis accións, utilizouse a utilidade gráfica ettercap; tamén hai análogos máis modernos, pero este software atrae pola súa interface gráfica primitiva e facilidade de uso.
Na primeira columna están os enderezos IP de todos os enrutadores que responderon ao ping, na segunda están os seus enderezos físicos.
O enderezo físico é único; pódese utilizar para recoller información sobre a localización xeográfica do enrutador, etc., polo que se ocultará para os efectos deste artigo.
O obxectivo 1 engade a pasarela principal co enderezo 192.168.xxx.1, o obxectivo 2 engade un dos outros enderezos.
Presentámonos á pasarela como un host co enderezo 192.168.xxx.204, pero co noso propio enderezo MAC. Despois presentámonos ao router do usuario como unha pasarela coa dirección 192.168.xxx.1 co seu MAC. Os detalles desta vulnerabilidade do protocolo ARP son discutidos en detalle noutros artigos que son fáciles de Google.
Como resultado de todas as manipulacións, temos tráfico dos hosts que nos atravesa, tendo habilitado previamente o reenvío de paquetes:
Si, https xa se usa case en todas partes, pero a rede aínda está chea doutros protocolos non seguros. Por exemplo, o mesmo DNS cun ataque de suplantación de DNS. O feito mesmo de que se poida levar a cabo un ataque MITM dá lugar a moitos outros ataques. As cousas empeoran cando hai varias ducias de servidores activos dispoñibles na rede. Cabe ter en conta que se trata do sector privado, non dunha rede corporativa, e non todos teñen medidas de protección para detectar e contrarrestar ataques relacionados.
Como evitalo
O provedor debería preocuparse por este problema; configurar a protección contra estes ataques é moi sinxelo, no caso do mesmo interruptor de Cisco.
A activación da inspección dinámica de ARP (DAI) evitaría que o enderezo MAC da pasarela mestra fose falsificado. A división do dominio de difusión en segmentos máis pequenos evitou que polo menos o tráfico ARP se estendese a todos os hosts seguidos e reduciuse o número de hosts que podían ser atacados. O cliente, pola súa banda, pode protexerse de tales manipulacións configurando unha VPN directamente no seu enrutador doméstico; a maioría dos dispositivos xa admiten esta funcionalidade.
Descubrimentos
Probablemente, aos provedores non lles importa isto; todos os esforzos están dirixidos a aumentar o número de clientes. Este material non foi escrito para demostrar un ataque, senón para lembrarche que incluso a rede do teu provedor pode non ser moi segura para transmitir os teus datos. Estou seguro de que hai moitos pequenos provedores de servizos de Internet rexionais que non fixeron máis que o necesario para executar equipos de rede básicos.
Fonte: www.habr.com