Mörg fyrirtæki í dag hafa áhyggjur af því að tryggja upplýsingaöryggi innviða sinna, sum gera þetta að beiðni reglugerðargagna og önnur gera þetta frá því fyrsta atvikið á sér stað. Nýleg þróun sýnir að atvikum fer fjölgandi og árásirnar sjálfar eru að verða flóknari. En þú þarft ekki að fara langt, hættan er miklu nær. Að þessu sinni langar mig að vekja athygli á öryggi netþjónustuaðila. Það eru færslur á Habré sem ræddu þetta efni á umsóknarstigi. Þessi grein mun leggja áherslu á öryggi á net- og gagnatengingarstigi.
Hvernig byrjaði allt
Fyrir nokkru var sett upp internet í íbúðina frá nýrri þjónustuveitu, áður var netþjónusta afhent í íbúðina með ADSL tækni. Þar sem ég eyði litlum tíma heima var farsímanetið meira eftirsótt en heimanetið. Með breytingunni á fjarvinnu ákvað ég að hraðinn 50-60 Mb/s fyrir heimanetið væri einfaldlega ekki nóg og ákvað að auka hraðann. Með ADSL tækni er af tæknilegum ástæðum ekki hægt að auka hraðann yfir 60 Mb/s. Ákveðið var að skipta yfir í aðra þjónustuaðila með öðrum uppgefnum hraða og með þjónustu sem ekki er í gegnum ADSL.
Það hefði getað verið eitthvað öðruvísi
Hafði samband við fulltrúa netveitunnar. Uppsetningarmennirnir komu, boruðu gat inn í íbúðina og settu RJ-45 plástursnúru. Þeir gáfu mér samning og leiðbeiningar um netstillingar sem þarf að stilla á beininum (sérstakur IP, gátt, undirnetmaska og IP tölur DNS þeirra), tóku greiðslu fyrir fyrsta mánuðinn í vinnunni og fóru. Þegar ég setti netstillingarnar sem mér voru gefnar inn í heimabeini minn, braust internetið inn í íbúðina. Aðferðin við fyrstu innskráningu nýs áskrifanda á netið fannst mér of einföld. Engin aðalheimild var framkvæmd og auðkennið mitt var IP-talan sem mér var gefin. Netið virkaði hratt og stöðugt, WiFi beini var í íbúðinni og í gegnum burðarvegginn lækkaði tengihraðinn aðeins. Einn daginn þurfti ég að hlaða niður skrá sem var á annan tug gígabæta. Ég hugsaði, hvers vegna ekki að tengja RJ-45 sem fer í íbúðina beint við tölvuna.
Þekktu náunga þinn
Eftir að hafa hlaðið niður allri skránni ákvað ég að kynnast nágrönnum í innstungunum betur.
Í fjölbýlishúsum kemur nettengingin oft frá veitu um ljósleiðara, fer inn í raflagnaskáp inn í einhvern rofann og dreifast milli innganga og íbúða um Ethernet snúrur ef litið er til frumstæðasta tengimyndarinnar. Já, það er nú þegar tækni þar sem ljósfræði fer beint í íbúðina (GPON), en þetta er ekki enn útbreitt.
Ef við tökum mjög einfaldaða staðfræði á mælikvarða eins húss lítur hún einhvern veginn svona út:
Í ljós kemur að viðskiptavinir þessarar þjónustuveitu, sumar nágrannaíbúðir, vinna í sama staðarneti á sama skiptibúnaði.
Með því að virkja hlustun á viðmóti sem er tengt beint við net þjónustuveitunnar geturðu séð útsendingar ARP umferð fljúga frá öllum vélum á netinu.
Þjónustuveitan ákvað að skipta sér ekki of mikið af því að skipta netinu niður í litla hluta, þannig að útsendingarumferð frá 253 vélum gæti streymt innan eins rofa, án þess að telja þá sem slökkt var á, og þar með stíflað bandbreidd rásarinnar.
Eftir að hafa skannað netið með því að nota nmap, ákváðum við fjölda virkra gestgjafa úr öllum vistfangahópnum, hugbúnaðarútgáfunni og opnum gáttum aðalrofans:
Og hvar er ARP þar og ARP-spoofing
Til að framkvæma frekari aðgerðir var ettercap-grafískt tólið notað; það eru líka til nútímalegri hliðstæður, en þessi hugbúnaður laðar að sér með frumstæðu grafísku viðmóti og auðveldri notkun.
Í fyrsta dálknum eru IP vistföng allra beina sem svöruðu pinginu, í þeim seinni eru líkamleg vistföng þeirra.
Heimilisfangið er einstakt; það er hægt að nota til að safna upplýsingum um landfræðilega staðsetningu beinisins osfrv., svo það verður falið í tilgangi þessarar greinar.
Markmið 1 bætir við aðalgáttinni með heimilisfanginu 192.168.xxx.1, markmið 2 bætir við einu af hinum netföngunum.
Við kynnum okkur gáttina sem gestgjafi með heimilisfanginu 192.168.xxx.204, en með okkar eigin MAC vistfangi. Síðan kynnum við okkur notendabeini sem gátt með heimilisfanginu 192.168.xxx.1 með MAC þess. Fjallað er ítarlega um upplýsingar um þessa ARP-samskiptareglur varnarleysi í öðrum greinum sem auðvelt er að Google.
Sem afleiðing af öllum meðhöndluninni höfum við umferð frá vélunum sem fer í gegnum okkur, eftir að hafa áður virkjað pakkaframsendingu:
Já, https er nú þegar notað nánast alls staðar, en netið er enn fullt af öðrum ótryggðum samskiptareglum. Til dæmis, sama DNS með DNS-spoofing árás. Sú staðreynd að hægt er að framkvæma MITM árás gefur tilefni til margra annarra árása. Hlutirnir versna þegar nokkrir tugir virkra gestgjafa eru tiltækir á netinu. Það er þess virði að íhuga að þetta er einkageirinn, ekki fyrirtækjanet, og ekki allir hafa verndarráðstafanir til að greina og vinna gegn tengdum árásum.
Hvernig á að forðast það
Þjónustuveitan ætti að hafa áhyggjur af þessu vandamáli; að setja upp vörn gegn slíkum árásum er mjög einfalt, ef um er að ræða sama Cisco rofann.
Að virkja Dynamic ARP Inspection (DAI) myndi koma í veg fyrir að MAC vistfang aðalgáttar væri falsað. Að skipta útsendingarléninu í smærri hluta kom í veg fyrir að að minnsta kosti ARP umferð dreifðist til allra gestgjafa í röð og fækkaði fjölda gestgjafa sem hægt væri að ráðast á. Viðskiptavinurinn getur aftur á móti verndað sig fyrir slíkri meðferð með því að setja upp VPN beint á heimabeini hans; flest tæki styðja nú þegar þessa virkni.
Niðurstöður
Líklega er veitendum ekki sama um þetta; öll viðleitni miðar að því að fjölga viðskiptavinum. Þetta efni var ekki skrifað til að sýna fram á árás, heldur til að minna þig á að jafnvel net símafyrirtækisins þíns gæti ekki verið mjög öruggt til að senda gögnin þín. Ég er viss um að það eru margir smáir svæðisbundnir netþjónustuaðilar sem hafa ekki gert neitt meira en nauðsynlegt er til að reka grunnnetbúnað.
Heimild: www.habr.com