Mnoge su tvrtke danas zabrinute za osiguravanje informacijske sigurnosti svoje infrastrukture, neke to čine na zahtjev regulatornih dokumenata, a neke to čine od trenutka kada se dogodi prvi incident. Nedavni trendovi pokazuju da broj incidenata raste, a sami napadi postaju sve sofisticiraniji. Ali ne treba ići daleko, opasnost je mnogo bliža. Ovog puta želim pokrenuti temu sigurnosti pružatelja internetskih usluga. Postoje postovi na Habréu koji raspravljaju o ovoj temi na razini aplikacije. Ovaj će se članak usredotočiti na sigurnost na razini mreže i podatkovne veze.
Kako je sve počelo
Prije nekog vremena u stan je instaliran internet od novog provajdera, prije toga su internetske usluge u stan isporučivane putem ADSL tehnologije. Budući da malo vremena provodim kod kuće, mobilni internet je bio traženiji od kućnog. Prelaskom na daljinski rad, zaključio sam da brzina od 50-60 Mb/s za kućni internet jednostavno nije dovoljna i odlučio povećati brzinu. S ADSL tehnologijom iz tehničkih razloga nije moguće povećati brzinu iznad 60 Mb/s. Odlučeno je prijeći na drugog davatelja s drugačijom deklariranom brzinom i s pružanjem usluga ne putem ADSL-a.
Moglo je biti nešto drugačije
Kontaktirao predstavnika internetskog davatelja usluga. Došli su monteri, izbušili stan i postavili RJ-45 patch kabel. Dali su mi ugovor i upute s mrežnim postavkama koje treba podesiti na routeru (dedicated IP, gateway, subnet mask i IP adrese njihovog DNS-a), uzeli uplatu za prvi mjesec rada i otišli. Kad sam u kućni router unio mrežne postavke koje sam dobio, internet je upao u stan. Procedura za početnu prijavu novog pretplatnika na mrežu činila mi se prejednostavnom. Nije provedena primarna autorizacija, a moj identifikator bila je IP adresa koja mi je dana. Internet je radio brzo i stabilno.U stanu je bio wifi ruter i kroz nosivi zid brzina veze je malo pala. Jednog sam dana trebao preuzeti datoteku od dvadesetak gigabajta. Pomislio sam, zašto ne spojiti RJ-45 koji ide u stan izravno na računalo.
Upoznaj svog susjeda
Nakon što sam preuzeo cijelu datoteku, odlučio sam bolje upoznati susjede u utičnicama.
U stambenim zgradama internetska veza često dolazi od davatelja putem optičkih vlakana, ide u ormar za ožičenje u jednu od sklopki i distribuira se između ulaza i stanova putem Ethernet kabela, ako uzmemo u obzir najprimitivniju shemu povezivanja. Da, već postoji tehnologija gdje optika ide ravno u stan (GPON), ali to još nije rašireno.
Ako uzmemo vrlo pojednostavljenu topologiju na razini jedne kuće, to izgleda otprilike ovako:
Ispada da klijenti ovog davatelja, neki susjedni stanovi, rade u istoj lokalnoj mreži na istoj preklopnoj opremi.
Omogućavanjem slušanja na sučelju povezanom izravno s mrežom pružatelja usluga, možete vidjeti emitirani ARP promet koji leti sa svih hostova na mreži.
Davatelj je odlučio ne zamarati se previše s dijeljenjem mreže u male segmente, tako da je emitirani promet s 253 hosta mogao teći unutar jednog preklopnika, ne računajući one koji su bili isključeni, čime je začepljena propusnost kanala.
Nakon skeniranja mreže pomoću nmapa, odredili smo broj aktivnih hostova iz cijelog skupa adresa, verziju softvera i otvorene portove glavnog preklopnika:
A gdje je tu ARP i ARP-spoofing
Za izvođenje daljnjih radnji korišten je grafički uslužni program ettercap; postoje i moderniji analozi, ali ovaj softver privlači svojim primitivnim grafičkim sučeljem i jednostavnošću korištenja.
U prvom stupcu su IP adrese svih rutera koji su odgovorili na ping, u drugom su njihove fizičke adrese.
Fizička adresa je jedinstvena; može se koristiti za prikupljanje informacija o geografskoj lokaciji usmjerivača itd., tako da će biti skrivena za potrebe ovog članka.
Cilj 1 dodaje glavni pristupnik s adresom 192.168.xxx.1, cilj 2 dodaje jednu od ostalih adresa.
Gatewayu se predstavljamo kao host s adresom 192.168.xxx.204, ali s vlastitom MAC adresom. Zatim se korisničkom usmjerivaču predstavljamo kao gateway s adresom 192.168.xxx.1 s njegovim MAC-om. Pojedinosti o ovoj ranjivosti ARP protokola detaljno se raspravljaju u drugim člancima koje je lako pronaći na Googleu.
Kao rezultat svih manipulacija, imamo promet s hostova koji ide preko nas, nakon što smo prethodno omogućili prosljeđivanje paketa:
Da, https se već koristi gotovo posvuda, ali mreža je još uvijek puna drugih nezaštićenih protokola. Na primjer, isti DNS s DNS-spoofing napadom. Sama činjenica da se MITM napad može izvesti dovodi do mnogih drugih napada. Stvari postaju još gore kada je na mreži dostupno nekoliko desetaka aktivnih hostova. Vrijedno je uzeti u obzir da se radi o privatnom sektoru, a ne o korporativnoj mreži, te da nemaju svi mjere zaštite za otkrivanje i suzbijanje povezanih napada.
Kako to izbjeći
Davatelj bi trebao biti zabrinut zbog ovog problema; postavljanje zaštite od takvih napada je vrlo jednostavno, u slučaju istog Cisco preklopnika.
Omogućavanje dinamičke ARP inspekcije (DAI) spriječilo bi lažiranje MAC adrese glavnog pristupnika. Razbijanje domene emitiranja na manje segmente spriječilo je barem širenje ARP prometa na sve hostove u nizu i smanjilo broj hostova koji bi mogli biti napadnuti. Klijent se pak može zaštititi od takvih manipulacija postavljanjem VPN-a izravno na kućni usmjerivač; većina uređaja već podržava ovu funkcionalnost.
Zaključci
Najvjerojatnije, pružateljima nije stalo do toga, svi napori usmjereni su na povećanje broja klijenata. Ovaj materijal nije napisan da demonstrira napad, već da vas podsjeti da čak ni mreža vašeg pružatelja usluga možda nije baš sigurna za prijenos vaših podataka. Siguran sam da postoji mnogo malih regionalnih pružatelja internetskih usluga koji nisu učinili ništa više od potrebnog za rad osnovne mrežne opreme.
Izvor: www.habr.com