今日、多くの企業は自社のインフラストラクチャの情報セキュリティの確保に懸念を抱いており、規制文書の要求に応じてこれを行う企業もあれば、最初のインシデントが発生した瞬間からこれを行う企業もあります。 最近の傾向として、インシデントの数は増加しており、攻撃自体も巧妙化しています。 しかし、遠くに行く必要はありません。危険はもっと近くにあります。 今回はインターネットプロバイダーのセキュリティについて取り上げたいと思います。 Habré には、このトピックをアプリケーション レベルで議論した投稿があります。 この記事では、ネットワーク レベルとデータ リンク レベルのセキュリティに焦点を当てます。
それがどうして始まったのか
少し前に、新しいプロバイダーからアパートにインターネットが設置されましたが、以前は、インターネット サービスは ADSL テクノロジを使用してアパートに提供されていました。 私は自宅で過ごす時間がほとんどないため、自宅のインターネットよりもモバイル インターネットの需要が高かったのです。 リモートワークへの移行に伴い、家庭用インターネットの 50 ~ 60 Mb/s の速度ではまったく不十分であると判断し、速度を上げることにしました。 ADSL テクノロジでは、技術的な理由により、速度を 60 Mb/s を超えるようにすることはできません。 宣言速度が異なり、ADSLを経由しないサービスの提供を行う別のプロバイダーに切り替えることが決定しました。
何か違ったものになっていたかもしれない
インターネットプロバイダーの担当者に連絡しました。 設置業者が来て、アパートにドリルで穴を開け、RJ-45 パッチ コードを取り付けました。 彼らは私に同意し、ルーターに設定する必要があるネットワーク設定 (専用 IP、ゲートウェイ、サブネット マスク、DNS の IP アドレス) に関する指示を与え、最初の 45 か月分の作業料金を受け取って退職しました。 与えられたネットワーク設定を自宅のルーターに入力すると、アパートにインターネットが突然侵入しました。 新しい加入者がネットワークに最初にログインする手順は、私には簡単すぎるように思えました。 一次認証は実行されず、私の識別子は私に与えられた IP アドレスでした。 インターネットは速くて安定していましたが、アパートにはWi-Fiルーターがありましたが、耐力壁を通過すると接続速度が少し低下しました。 ある日、XNUMX GB ものファイルをダウンロードする必要がありました。 アパートに行くRJ-XNUMXを直接PCに接続すれば良いのではないかと考えました。
あなたの隣人を知りなさい
ファイル全体をダウンロードした後、スイッチ ソケット内の隣人のことをもっとよく知ることにしました。
最も原始的な接続図を考慮すると、アパートの建物では、多くの場合、インターネット接続はプロバイダーから光ファイバー経由で来て、配線クローゼットのいずれかのスイッチに入り、イーサネット ケーブル経由で入り口とアパートの間に分配されます。 はい、光学機器がアパートに直接届く技術 (GPON) はすでにありますが、これはまだ普及していません。
XNUMX 軒の家の大きさで非常に単純化したトポロジを取り上げると、次のようになります。
このプロバイダーのクライアントであるいくつかの近隣のアパートが、同じスイッチング機器上の同じローカル ネットワークで動作していることが判明しました。
プロバイダーのネットワークに直接接続されているインターフェイスでのリッスンを有効にすると、ネットワーク上のすべてのホストから送信されるブロードキャスト ARP トラフィックを確認できます。
プロバイダーは、ネットワークを小さなセグメントに分割することをあまり気にしないことを決定しました。そのため、253 のホストからのブロードキャスト トラフィックが XNUMX つのスイッチ内で流れることができ、オフになっているトラフィックはカウントされず、チャネル帯域幅が詰まります。
nmap を使用してネットワークをスキャンした後、アドレス プール全体からアクティブなホストの数、ソフトウェア バージョン、メイン スイッチの開いているポートを特定しました。
ARP と ARP スプーフィングはどこにありますか?
さらにアクションを実行するには、ettercap-グラフィカル ユーティリティが使用されました。より最新の類似物もありますが、このソフトウェアは、その原始的なグラフィカル インターフェイスと使いやすさに魅力を感じています。
最初の列には ping に応答したすべてのルーターの IP アドレスがあり、XNUMX 番目の列にはそれらの物理アドレスが表示されます。
物理アドレスは一意であり、ルーターの地理的位置などに関する情報を収集するために使用できるため、この記事では非表示にします。
目標 1 はアドレス 192.168.xxx.1 のメイン ゲートウェイを追加し、目標 2 は他のアドレスの XNUMX つを追加します。
私たちは、自分自身をアドレス 192.168.xxx.204 のホストとしてゲートウェイに紹介しますが、自分自身の MAC アドレスを持ちます。 次に、自分自身を、アドレス 192.168.xxx.1 とその MAC を持つゲートウェイとしてユーザー ルーターに示します。 この ARP プロトコルの脆弱性の詳細については、Google に検索しやすい他の記事で詳しく説明されています。
すべての操作の結果、以前にパケット転送を有効にしていたホストからのトラフィックが私たちを経由するようになりました。
はい、https はすでにほぼどこでも使用されていますが、ネットワークにはまだ安全でない他のプロトコルがたくさんあります。 たとえば、同じ DNS に対して DNS スプーフィング攻撃が行われた場合などです。 MITM 攻撃が実行される可能性があるという事実自体が、他の多くの攻撃を引き起こします。 ネットワーク上で使用可能なアクティブなホストが数十個ある場合、状況はさらに悪化します。 これは企業ネットワークではなく民間部門であり、関連する攻撃を検出して対抗するための保護手段を誰もが持っているわけではないことを考慮する価値があります。
それを避ける方法
プロバイダーはこの問題を考慮する必要があります。同じ Cisco スイッチの場合、このような攻撃に対する保護を設定するのは非常に簡単です。
Dynamic ARP Inspection (DAI) を有効にすると、マスター ゲートウェイの MAC アドレスがスプーフィングされるのを防ぐことができます。 ブロードキャスト ドメインをより小さなセグメントに分割することで、少なくとも ARP トラフィックがすべてのホストに連続して拡散するのを防ぎ、攻撃される可能性のあるホストの数を減らしました。 一方、クライアントは、ホーム ルーターに VPN を直接設定することで、そのような操作から身を守ることができます。ほとんどのデバイスはすでにこの機能をサポートしています。
所見
おそらく、プロバイダーはこれを気にせず、すべての取り組みはクライアントの数を増やすことを目的としています。 この資料は攻撃を実証するために書かれたものではありませんが、プロバイダーのネットワークですらデータの送信にはそれほど安全ではない可能性があることを思い出していただくために書かれたものです。 基本的なネットワーク機器を稼働させるために必要なこと以上のことは何もしていない小規模な地域インターネット サービス プロバイダーがたくさんあると思います。
出所: habr.com