Manapság sok vállalat aggódik infrastruktúrája információbiztonságának biztosításáért, van, aki ezt a szabályozási dokumentumok kérésére teszi, mások pedig az első incidens pillanatától kezdődően teszik ezt. A legújabb trendek azt mutatják, hogy az incidensek száma növekszik, és maguk a támadások is egyre kifinomultabbak. De nem kell messzire menni, a veszély sokkal közelebb van. Ezúttal az internetszolgáltatók biztonságának témáját szeretném felvetni. Vannak olyan bejegyzések a Habré-n, amelyek ezt a témát jelentkezési szinten tárgyalták. Ez a cikk a hálózati és adatkapcsolati szintű biztonságra összpontosít.
Hogy kezdődött mindez
Régen új szolgáltatótól került beépítésre az internet a lakásba, korábban ADSL technológiával biztosították az internet szolgáltatást a lakásba. Mivel kevés időt töltök otthon, a mobilinternet iránti kereslet nagyobb volt, mint az otthoni internetre. A távmunkára való átállással úgy döntöttem, hogy az otthoni internet 50-60 Mb/s sebessége egyszerűen nem elég, és úgy döntöttem, hogy növelem a sebességet. Az ADSL technológiával technikai okok miatt nem lehet 60 Mb/s fölé emelni a sebességet. Elhatározták, hogy másik szolgáltatóra váltanak, eltérő sebességgel és nem ADSL-en keresztül nyújtott szolgáltatásokkal.
Lehetett volna valami más is
Felvette a kapcsolatot az internetszolgáltató képviselőjével. Jöttek a szerelők, lyukat fúrtak a lakásba, és beszereltek egy RJ-45 patch kábelt. Megállapodást és utasításokat adtak nekem a routeren beállítandó hálózati beállításokkal (dedikált IP, átjáró, alhálózati maszk és a DNS-ük IP-címei), kifizették az első hónap munkadíját, és elmentek. Amikor az otthoni routerbe beírtam a megadott hálózati beállításokat, berobbant a lakásba az internet. Az új előfizetők hálózatba való kezdeti bejelentkezésének eljárása túl egyszerűnek tűnt számomra. Elsődleges engedélyezés nem történt, és az azonosítóm a kapott IP-cím volt. Az internet gyorsan és stabilan működött.Wifi router volt a lakásban és a teherhordó falon keresztül kicsit leesett a kapcsolat sebessége. Egy nap le kellett töltenem egy két tucat gigabájt méretű fájlt. Arra gondoltam, miért ne csatlakoztassa a lakásba menő RJ-45-öt közvetlenül a PC-hez.
Ismerd meg felebarátodat
A teljes fájl letöltése után úgy döntöttem, hogy jobban megismerem a szomszédokat a kapcsolóaljzatokban.
A társasházakban az internetkapcsolat gyakran optikai szálon keresztül érkezik a szolgáltatótól, bemegy a vezetékszekrénybe az egyik kapcsolóba, és Ethernet-kábelen osztják el a bejáratok és a lakások között, ha a legprimitívebb csatlakozási rajzot vesszük. Igen, van már olyan technológia, ahol az optika egyenesen a lakásba kerül (GPON), de ez még nem terjedt el.
Ha egy nagyon leegyszerűsített topológiát veszünk egy ház léptékében, az valahogy így néz ki:
Kiderült, hogy ennek a szolgáltatónak az ügyfelei, néhány szomszédos lakás, ugyanabban a helyi hálózatban, ugyanazon a kapcsolóberendezésen dolgoznak.
Ha engedélyezi a hallgatást egy közvetlenül a szolgáltató hálózatához csatlakoztatott interfészen, láthatja a sugárzott ARP-forgalmat a hálózat összes állomásáról.
A szolgáltató úgy döntött, hogy nem foglalkozik túl sokat a hálózat kis szegmensekre való felosztásával, így egy switchen belül 253 gazdagép sugárzott forgalma folyhatott, nem számítva a kikapcsoltakat, ezzel eltömítve a csatorna sávszélességét.
A hálózat nmap segítségével történő átvizsgálása után meghatároztuk az aktív gazdagépek számát a teljes címkészletből, a szoftververziót és a főkapcsoló nyitott portjait:
És hol van még az ARP és az ARP-hamisítás
A további műveletek végrehajtásához az ettercap-grafikus segédprogramot használták; vannak modernebb analógok is, de ez a szoftver primitív grafikus felületével és könnyű kezelhetőségével vonz.
Az első oszlopban az összes ping-re válaszoló útválasztó IP-címe, a másodikban pedig a fizikai címük található.
A fizikai cím egyedi, felhasználható az útválasztó földrajzi helyéről stb. kapcsolatos információk gyűjtésére, ezért jelen cikk céljaira rejtve lesz.
Az 1. cél hozzáadja a fő átjárót 192.168.xxx.1 címmel, a 2. cél pedig a többi cím egyikét.
192.168.xxx.204 címmel, de saját MAC-címmel mutatkozunk be az átjárónak, mint gazdagépnek. Ezután a 192.168.xxx.1 címmel átjáróként mutatjuk be magunkat a felhasználói útválasztónak a MAC-jával. Az ARP-protokoll-sebezhetőség részleteit más, a Google számára könnyen használható cikkek részletesen tárgyalják.
Az összes manipuláció eredményeként olyan forgalmunk van a gazdagépektől, amelyek áthaladnak rajtunk, miután korábban engedélyeztük a csomagtovábbítást:
Igen, a https-t már szinte mindenhol használják, de a hálózat még mindig tele van más nem biztonságos protokollokkal. Például ugyanaz a DNS DNS-hamisítási támadással. Az a tény, hogy egy MITM támadás végrehajtható, sok más támadást is eredményez. A dolgok rosszabbra fordulnak, ha több tucat aktív gazdagép érhető el a hálózaton. Érdemes megfontolni, hogy ez a magánszektor, nem egy vállalati hálózat, és nem mindenki rendelkezik védelmi intézkedésekkel a kapcsolódó támadások észlelésére és ellensúlyozására.
Hogyan lehet elkerülni
A szolgáltatónak aggódnia kell a probléma miatt, az ilyen támadások elleni védelem beállítása nagyon egyszerű ugyanazon Cisco switch esetén.
A Dynamic ARP Inspection (DAI) engedélyezése megakadályozza a főátjáró MAC-címének hamisítását. A szórási tartomány kisebb szegmensekre bontása megakadályozta, hogy legalább az ARP-forgalom az összes gazdagépre egymás után terjedjen, és csökkentse a megtámadható gazdagépek számát. Az ügyfél pedig megvédheti magát az ilyen manipulációktól, ha közvetlenül az otthoni útválasztóján állít be egy VPN-t; a legtöbb eszköz már támogatja ezt a funkciót.
Álláspontja
Valószínűleg a szolgáltatók nem törődnek ezzel, minden erőfeszítés az ügyfelek számának növelésére irányul. Ez az anyag nem egy támadás bemutatására készült, hanem azért, hogy emlékeztessem Önt arra, hogy még a szolgáltató hálózata sem biztos, hogy túl biztonságos az Ön adatainak továbbításához. Biztos vagyok benne, hogy sok olyan kis regionális internetszolgáltató van, amelyik semmi mást nem tett, mint az alapvető hálózati berendezések üzemeltetéséhez szükséges.
Forrás: will.com