Banyak perusahaan saat ini yang peduli untuk memastikan keamanan informasi infrastruktur mereka, beberapa melakukan hal ini atas permintaan dokumen peraturan, dan beberapa melakukan hal ini sejak insiden pertama terjadi. Tren terkini menunjukkan bahwa jumlah insiden meningkat dan serangannya sendiri menjadi lebih canggih. Namun tak perlu jauh-jauh, bahayanya jauh lebih dekat. Kali ini saya ingin mengangkat topik keamanan penyedia internet. Ada postingan di HabrΓ© yang membahas topik ini di tingkat aplikasi. Artikel ini akan fokus pada keamanan di tingkat jaringan dan data link.
Bagaimana semuanya dimulai
Beberapa waktu lalu, Internet dipasang di apartemen dari penyedia baru, sebelumnya layanan Internet disalurkan ke apartemen menggunakan teknologi ADSL. Karena saya menghabiskan sedikit waktu di rumah, Internet seluler lebih diminati daripada Internet di rumah. Dengan peralihan ke pekerjaan jarak jauh, saya memutuskan bahwa kecepatan 50-60 Mb/s untuk Internet di rumah tidaklah cukup dan memutuskan untuk meningkatkan kecepatan. Dengan teknologi ADSL, karena alasan teknis, tidak mungkin untuk meningkatkan kecepatan di atas 60 Mb/s. Diputuskan untuk beralih ke penyedia lain dengan kecepatan yang dinyatakan berbeda dan dengan penyediaan layanan bukan melalui ADSL.
Bisa jadi itu adalah sesuatu yang berbeda
Menghubungi perwakilan penyedia Internet. Pemasang datang, mengebor lubang ke dalam apartemen, dan memasang kabel patch RJ-45. Mereka memberi saya persetujuan dan instruksi dengan pengaturan jaringan yang perlu diatur pada router (IP khusus, gateway, subnet mask dan alamat IP DNS mereka), mengambil pembayaran untuk bulan pertama kerja dan pergi. Ketika saya memasukkan pengaturan jaringan yang diberikan kepada saya ke router rumah saya, Internet masuk ke dalam apartemen. Prosedur login awal pelanggan baru ke jaringan tampak terlalu sederhana bagi saya. Tidak ada otorisasi utama yang dilakukan, dan pengidentifikasi saya adalah alamat IP yang diberikan kepada saya. Internet bekerja dengan cepat dan stabil. Ada router wifi di apartemen dan melalui dinding penahan beban, kecepatan koneksi sedikit menurun. Suatu hari, saya perlu mengunduh file berukuran dua lusin gigabyte. Saya berpikir, kenapa tidak menghubungkan RJ-45 yang menuju apartemen langsung ke PC.
Kenali tetanggamu
Setelah mengunduh seluruh file, saya memutuskan untuk mengenal tetangga di soket saklar lebih baik.
Di gedung apartemen, koneksi Internet sering kali datang dari penyedia melalui serat optik, masuk ke lemari kabel ke salah satu sakelar dan didistribusikan antara pintu masuk dan apartemen melalui kabel Ethernet, jika kita mempertimbangkan diagram koneksi paling primitif. Ya, sudah ada teknologi optik langsung ke apartemen (GPON), tapi belum meluas.
Jika kita mengambil topologi yang sangat disederhanakan pada skala satu rumah, maka tampilannya seperti ini:
Ternyata klien penyedia ini, beberapa apartemen tetangga, bekerja di jaringan lokal yang sama pada peralatan switching yang sama.
Dengan mengaktifkan mendengarkan pada antarmuka yang terhubung langsung ke jaringan penyedia, Anda dapat melihat lalu lintas siaran ARP terbang dari semua host di jaringan.
Penyedia memutuskan untuk tidak terlalu repot membagi jaringan menjadi segmen-segmen kecil, sehingga lalu lintas siaran dari 253 host dapat mengalir dalam satu switch, tidak termasuk yang dimatikan, sehingga menyumbat bandwidth saluran.
Setelah memindai jaringan menggunakan nmap, kami menentukan jumlah host aktif dari seluruh kumpulan alamat, versi perangkat lunak, dan port terbuka dari sakelar utama:
Dimana ARP dan ARP-spoofing?
Untuk melakukan tindakan lebih lanjut, utilitas grafis ettercap digunakan, ada juga analog yang lebih modern, tetapi perangkat lunak ini menarik dengan antarmuka grafisnya yang primitif dan kemudahan penggunaan.
Kolom pertama berisi alamat IP semua router yang merespons ping, kolom kedua berisi alamat fisiknya.
Alamat fisiknya unik; dapat digunakan untuk mengumpulkan informasi tentang lokasi geografis router, dll., sehingga akan disembunyikan untuk keperluan artikel ini.
Sasaran 1 menambahkan gateway utama dengan alamat 192.168.xxx.1, sasaran 2 menambahkan salah satu alamat lainnya.
Kami memperkenalkan diri ke gateway sebagai host dengan alamat 192.168.xxx.204, tetapi dengan alamat MAC kami sendiri. Kemudian kita menampilkan diri kita kepada user router sebagai gateway dengan alamat 192.168.xxx.1 beserta MAC nya. Detail kerentanan protokol ARP ini dibahas secara detail di artikel lain yang mudah dibaca Google.
Sebagai hasil dari semua manipulasi, kami mendapatkan lalu lintas dari host yang melewati kami, setelah sebelumnya mengaktifkan penerusan paket:
Ya, https sudah digunakan hampir di semua tempat, namun jaringan masih penuh dengan protokol tidak aman lainnya. Misalnya saja DNS yang sama dengan serangan DNS-spoofing. Fakta bahwa serangan MITM dapat dilakukan menimbulkan banyak serangan lainnya. Keadaan menjadi lebih buruk ketika ada beberapa lusin host aktif yang tersedia di jaringan. Patut dipertimbangkan bahwa ini adalah sektor swasta, bukan jaringan perusahaan, dan tidak semua orang memiliki langkah perlindungan untuk mendeteksi dan melawan serangan terkait.
Bagaimana cara menghindarinya
Penyedia harus memperhatikan masalah ini; menyiapkan perlindungan terhadap serangan semacam itu sangat sederhana, dalam kasus switch Cisco yang sama.
Mengaktifkan Inspeksi ARP Dinamis (DAI) akan mencegah alamat MAC gateway utama dipalsukan. Memecah domain siaran menjadi segmen yang lebih kecil mencegah setidaknya lalu lintas ARP menyebar ke semua host secara berurutan dan mengurangi jumlah host yang dapat diserang. Klien, pada gilirannya, dapat melindungi dirinya dari manipulasi tersebut dengan menyiapkan VPN langsung di router rumahnya; sebagian besar perangkat sudah mendukung fungsi ini.
Temuan
Kemungkinan besar penyedia tidak mempedulikan hal ini, semua upaya ditujukan untuk meningkatkan jumlah klien. Materi ini ditulis bukan untuk menunjukkan adanya serangan, namun untuk mengingatkan Anda bahwa jaringan penyedia Anda pun mungkin tidak terlalu aman untuk mengirimkan data Anda. Saya yakin ada banyak penyedia layanan Internet regional kecil yang tidak melakukan apa pun selain yang diperlukan untuk menjalankan peralatan jaringan dasar.
Sumber: www.habr.com