Molte aziende oggi sono preoccupate di garantire la sicurezza delle informazioni della propria infrastruttura, alcune lo fanno su richiesta di documenti normativi e altre lo fanno dal momento in cui si verifica il primo incidente. Le tendenze recenti mostrano che il numero di incidenti è in aumento e che gli attacchi stessi stanno diventando sempre più sofisticati. Ma non serve andare lontano, il pericolo è molto più vicino. Questa volta vorrei sollevare il tema della sicurezza del provider Internet. Ci sono post su Habré che trattano questo argomento a livello di applicazione. Questo articolo si concentrerà sulla sicurezza a livello di rete e collegamento dati.
С чего все началось
Qualche tempo fa nell'appartamento è stata installata Internet da un nuovo provider, in precedenza i servizi Internet venivano forniti all'appartamento utilizzando la tecnologia ADSL. Poiché trascorro poco tempo a casa, Internet mobile è più richiesto di Internet domestico. Con il passaggio al lavoro remoto, ho deciso che la velocità di 50-60 Mb/s per Internet da casa semplicemente non era sufficiente e ho deciso di aumentare la velocità. Con la tecnologia ADSL, per motivi tecnici, non è possibile aumentare la velocità oltre i 60 Mb/s. Si è deciso di passare ad un altro operatore con una diversa velocità dichiarata e con l'erogazione dei servizi non via ADSL.
Avrebbe potuto essere qualcosa di diverso
Contattato un rappresentante del provider Internet. Sono venuti gli installatori, hanno praticato un foro nell'appartamento e hanno installato un cavo di connessione RJ-45. Mi hanno dato un accordo e le istruzioni con le impostazioni di rete da impostare sul router (IP dedicato, gateway, subnet mask e indirizzi IP dei loro DNS), hanno preso il pagamento del primo mese di lavoro e se ne sono andati. Quando ho inserito le impostazioni di rete che mi sono state fornite nel router di casa, Internet ha fatto irruzione nell'appartamento. La procedura per il primo accesso alla rete di un nuovo abbonato mi è sembrata troppo semplice. Non è stata eseguita alcuna autorizzazione primaria e il mio identificatore era l'indirizzo IP che mi è stato fornito. Internet funzionava velocemente e stabilmente, nell'appartamento c'era un router wifi e a causa del muro portante la velocità di connessione diminuiva leggermente. Un giorno avevo bisogno di scaricare un file che misurava due dozzine di gigabyte. Ho pensato, perché non collegare l'RJ-45 che va all'appartamento direttamente al PC.
Conosci il tuo prossimo
Dopo aver scaricato l'intero file, ho deciso di conoscere meglio i vicini delle prese.
Nei condomini, la connessione Internet spesso proviene dal provider tramite fibra ottica, entra nell'armadio elettrico in uno degli interruttori ed è distribuita tra gli ingressi e gli appartamenti tramite cavi Ethernet, se consideriamo lo schema di collegamento più primitivo. Sì, esiste già una tecnologia in cui l'ottica arriva direttamente all'appartamento (GPON), ma questa non è ancora diffusa.
Se prendiamo una topologia molto semplificata sulla scala di una casa, assomiglia a questa:
Si scopre che i clienti di questo fornitore, alcuni appartamenti vicini, lavorano nella stessa rete locale sulle stesse apparecchiature di commutazione.
Abilitando l'ascolto su un'interfaccia connessa direttamente alla rete del provider, puoi vedere il traffico ARP trasmesso proveniente da tutti gli host della rete.
Il provider ha deciso di non preoccuparsi troppo della divisione della rete in piccoli segmenti, in modo che il traffico trasmesso da 253 host potesse fluire all'interno di uno switch, senza contare quelli che erano spenti, intasando così la larghezza di banda del canale.
Dopo aver scansionato la rete utilizzando nmap, abbiamo determinato il numero di host attivi dall'intero pool di indirizzi, la versione del software e le porte aperte dello switch principale:
E dov'è l'ARP e lo spoofing dell'ARP
Per eseguire ulteriori azioni, è stata utilizzata l'utilità grafica ettercap, esistono anche analoghi più moderni, ma questo software attrae con la sua interfaccia grafica primitiva e la facilità d'uso.
Nella prima colonna ci sono gli indirizzi IP di tutti i router che hanno risposto al ping, nella seconda ci sono i loro indirizzi fisici.
L'indirizzo fisico è univoco; può essere utilizzato per raccogliere informazioni sulla posizione geografica del router, ecc., quindi verrà nascosto ai fini di questo articolo.
L'obiettivo 1 aggiunge il gateway principale con l'indirizzo 192.168.xxx.1, l'obiettivo 2 aggiunge uno degli altri indirizzi.
Ci presentiamo al gateway come host con l'indirizzo 192.168.xxx.204, ma con il nostro indirizzo MAC. Successivamente ci presentiamo al router dell'utente come gateway con l'indirizzo 192.168.xxx.1 con relativo MAC. I dettagli di questa vulnerabilità del protocollo ARP sono discussi in dettaglio in altri articoli facili da trovare su Google.
Come risultato di tutte le manipolazioni, abbiamo il traffico degli host che ci attraversa, avendo precedentemente abilitato l'inoltro dei pacchetti:
Sì, https è già utilizzato quasi ovunque, ma la rete è ancora piena di altri protocolli non protetti. Ad esempio, lo stesso DNS con un attacco di spoofing DNS. Il fatto stesso che un attacco MITM possa essere effettuato dà luogo a molti altri attacchi. Le cose peggiorano quando sulla rete sono disponibili diverse dozzine di host attivi. Vale la pena considerare che si tratta del settore privato, non di una rete aziendale, e non tutti dispongono di misure di protezione per rilevare e contrastare gli attacchi correlati.
Come evitarlo
Il provider dovrebbe preoccuparsi di questo problema; impostare una protezione contro tali attacchi è molto semplice, nel caso dello stesso switch Cisco.
L'abilitazione dell'ispezione ARP dinamica (DAI) impedirebbe lo spoofing dell'indirizzo MAC del gateway principale. Suddividere il dominio di trasmissione in segmenti più piccoli ha impedito almeno al traffico ARP di diffondersi a tutti gli host consecutivi e di ridurre il numero di host che potevano essere attaccati. Il cliente, a sua volta, può proteggersi da tali manipolazioni configurando una VPN direttamente sul router di casa; la maggior parte dei dispositivi supporta già questa funzionalità.
risultati
Molto probabilmente, ai fornitori non interessa questo, tutti gli sforzi sono volti ad aumentare il numero di clienti. Questo materiale non è stato scritto per dimostrare un attacco, ma per ricordarti che anche la rete del tuo provider potrebbe non essere molto sicura per la trasmissione dei tuoi dati. Sono sicuro che ci sono molti piccoli fornitori di servizi Internet regionali che non hanno fatto nulla di più del necessario per far funzionare le apparecchiature di rete di base.
Fonte: habr.com