Anpil konpayi jodi a gen enkyetid pou asire sekirite enfòmasyon yo nan enfrastrikti yo, kèk fè sa a demann dokiman regilasyon, ak kèk fè sa apati moman premye ensidan an rive. Tandans ki sot pase yo montre ke kantite ensidan an ap grandi, ak atak yo menm yo ap vin pi sofistike. Men, ou pa bezwen ale byen lwen, danje a pi pre. Fwa sa a mwen ta renmen soulve sijè sekirite founisè entènèt la. Gen pòs sou Habré ki te diskite sou sijè sa a nan nivo aplikasyon an. Atik sa a pral konsantre sou sekirite nan rezo a ak nivo lyen done yo.
Ki jan li tout te kòmanse
Kèk tan de sa, yon nouvo founisè te enstale Entènèt nan apatman an; anvan, sèvis entènèt yo te delivre nan apatman an ak teknoloji ADSL. Depi mwen pase yon ti tan nan kay la, entènèt mobil te plis nan demann pase entènèt lakay ou. Avèk tranzisyon an nan travay aleka, mwen deside ke vitès la nan 50-60 Mb / s pou entènèt lakay yo te tou senpleman pa ase epi deside ogmante vitès la. Avèk teknoloji ADSL, pou rezon teknik, li pa posib pou ogmante vitès la pi wo pase 60 Mb/s. Li te deside chanje nan yon lòt founisè ak yon vitès diferan deklare ak ak pwovizyon sèvis pa atravè ADSL.
Li te kapab yon bagay diferan
Kontakte yon reprezantan founisè entènèt la. Enstalatè yo te vini, yo te fè yon twou nan apatman an, epi yo te enstale yon kòd patch RJ-45. Yo te ban m 'yon akò ak enstriksyon ak anviwònman yo rezo ki bezwen mete sou routeur la (dedye IP, pòtay, mask subnet ak adrès IP nan dns yo), te pran peman pou premye mwa a nan travay epi yo kite. Lè mwen te antre nan paramèt rezo yo te ban mwen nan routeur lakay mwen, entènèt la te pete nan apatman an. Pwosedi pou premye koneksyon yon nouvo abònen nan rezo a te sanble twò senp pou mwen. Pa gen okenn otorizasyon prensipal ki fèt, epi idantifyan mwen an se adrès IP yo te ban mwen an. Entènèt la te travay byen vit ak estab.Te gen yon routeur wifi nan apatman an ak atravè miray ranpa a ki pote chaj vitès koneksyon an tonbe yon ti kras. Yon jou, mwen te bezwen telechaje yon fichye ki mezire de douzèn gigaocte. Mwen te panse, poukisa pa konekte RJ-45 ale nan apatman an dirèkteman nan PC a.
Konnen frè parèy ou
Lè m te telechaje tout fichye a, mwen deside pi byen konnen vwazen yo nan priz switch yo.
Nan bilding apatman, koneksyon entènèt la souvan soti nan founisè a atravè fib optik, ale nan klozèt la fil elektrik nan youn nan switch yo epi li distribye ant antre ak apatman atravè câbles Ethernet, si nou konsidere dyagram nan koneksyon ki pi primitif. Wi, gen deja yon teknoloji kote optik ale tou dwat nan apatman an (GPON), men sa a poko gaye toupatou.
Si nou pran yon topoloji trè senplifye sou echèl yon kay, li sanble yon bagay tankou sa a:
Li sanble ke kliyan yo nan founisè sa a, kèk apatman vwazen, travay nan menm rezo lokal la sou menm ekipman pou chanje.
Lè w pèmèt koute sou yon koòdone ki konekte dirèkteman nan rezo founisè a, ou ka wè trafik ARP emisyon k ap vole soti nan tout lame sou rezo a.
Founisè a deside pa deranje twòp ak divize rezo a an ti segman, kidonk trafik difizyon soti nan 253 lame te kapab koule nan yon sèl switch, san konte sa yo ki te etenn, kidonk bouche lajè kanal la.
Apre w fin tcheke rezo a lè l sèvi avèk nmap, nou detèmine kantite lame aktif ki soti nan tout pisin adrès la, vèsyon lojisyèl an ak pò louvri switch prensipal la:
Ak ki kote ARP la ak ARP-spoofing
Pou fè plis aksyon, yo te itilize sèvis piblik ettercap-grafik la; gen tou analogue pi modèn, men lojisyèl sa a atire ak koòdone primitif grafik li yo ak fasilite nan itilize.
Nan premye kolòn yo se adrès IP tout routeurs ki te reponn ping la, nan dezyèm lan se adrès fizik yo.
Adrès fizik la inik; li ka itilize pou kolekte enfòmasyon sou kote jeyografik routeur la, elatriye, kidonk li pral kache pou rezon atik sa a.
Objektif 1 ajoute pòtay prensipal la ak adrès 192.168.xxx.1, objektif 2 ajoute youn nan lòt adrès yo.
Nou prezante tèt nou nan pòtay la kòm yon lame ak adrès la 192.168.xxx.204, men ak pwòp adrès MAC nou an. Lè sa a, nou prezante tèt nou nan routeur itilizatè a kòm yon pòtay ak adrès 192.168.xxx.1 ak MAC li yo. Detay yo sou vilnerabilite pwotokòl ARP sa a yo diskite an detay nan lòt atik ki fasil pou Google.
Kòm yon rezilta nan tout manipilasyon yo, nou gen trafik soti nan tout pouvwa a ki ale nan nou, li te deja pèmèt voye pake:
Wi, https deja itilize prèske tout kote, men rezo a toujou plen ak lòt pwotokòl ki pa an sekirite. Pou egzanp, DNS a menm ak yon atak DNS-spoofing. Lefèt ke yon atak MITM ka fèt bay monte anpil lòt atak. Bagay yo vin pi mal lè gen plizyè douzèn lame aktif ki disponib sou rezo a. Li vo konsidere ke sa a se sektè prive a, pa yon rezo antrepriz, e se pa tout moun ki gen mezi pwoteksyon pou detekte ak kontrekare atak ki gen rapò.
Ki jan yo evite li
Founisè a ta dwe enkyete sou pwoblèm sa a; mete pwoteksyon kont atak sa yo trè senp, nan ka a nan menm switch Cisco.
Pèmèt Enspeksyon ARP dinamik (DAI) ta anpeche adrès MAC pòtay mèt la pa twonpe. Kraze domèn emisyon an nan pi piti segman anpeche omwen trafik ARP gaye nan tout lame nan yon ranje epi redwi kantite lame ki ta ka atake. Kliyan an, nan vire, ka pwoteje tèt li kont manipilasyon sa yo lè li mete yon VPN dirèkteman sou routeur lakay li; pifò aparèy deja sipòte fonksyonalite sa a.
Jwenn
Gen plis chans, founisè yo pa pran swen sa a; tout efò yo vize pou ogmante kantite kliyan yo. Materyèl sa a pa te ekri pou demontre yon atak, men pou fè w sonje ke menm rezo founisè w la ka pa trè an sekirite pou transmèt done w yo. Mwen sèten genyen anpil ti founisè sèvis Entènèt rejyonal yo ki pa fè anyen plis pase sa nesesè pou kouri ekipman rezo debaz yo.
Sous: www.habr.com