Көптеген компаниялар бүгінде өз инфрақұрылымының ақпараттық қауіпсіздігін қамтамасыз ету мәселесіне алаңдаса, кейбіреулер мұны нормативтік құжаттардың талабы бойынша жасайды, ал кейбіреулері мұны бірінші оқиға орын алған сәттен бастап жасайды. Соңғы тенденциялар оқиғалар санының артып келе жатқанын, ал шабуылдардың өзі күрделірек болып келе жатқанын көрсетеді. Бірақ алысқа барудың қажеті жоқ, қауіп әлдеқайда жақын. Бұл жолы мен Интернет-провайдер қауіпсіздігі тақырыбын қозғағым келеді. Хабреде осы тақырыпты қолданба деңгейінде талқылаған хабарламалар бар. Бұл мақала желі және деректер байланысы деңгейлеріндегі қауіпсіздікке бағытталған.
Бұл қалай басталды
Біраз уақыт бұрын пәтерге жаңа провайдерден интернет орнатылды, бұрын ADSL технологиясы арқылы пәтерге интернет қызметтері жеткізілетін. Мен үйде аз уақыт өткізетіндіктен, үйдегі интернетке қарағанда мобильді интернет сұранысқа ие болды. Қашықтан жұмыс істеуге көшу кезінде мен үйдегі Интернет үшін 50-60 Мб/с жылдамдықты жай ғана жеткіліксіз деп шештім және жылдамдықты арттыруды шештім. ADSL технологиясымен техникалық себептерге байланысты жылдамдықты 60 Мбит/с жоғарылату мүмкін емес. Басқа мәлімделген жылдамдығы бар және ADSL арқылы емес қызметтерді көрсететін басқа провайдерге ауысу туралы шешім қабылданды.
Бұл басқаша болуы мүмкін еді
Интернет провайдерінің өкіліне хабарласты. Монтажшылар келіп, пәтерге тесік тесіп, RJ-45 патч сымын орнатты. Олар маған маршрутизаторда орнатылуы керек желі параметрлерімен келісім мен нұсқаулар берді (арнайы IP, шлюз, ішкі желі маскасы және олардың DNS IP мекенжайлары), жұмыстың бірінші айының төлемін алып, кетіп қалды. Мен үйдегі маршрутизаторға маған берілген желі параметрлерін енгізген кезде, Интернет пәтерге кіріп кетті. Жаңа абоненттің желіге бастапқы кіру процедурасы маған тым қарапайым болып көрінді. Ешқандай негізгі авторизация орындалмады және менің идентификаторым маған берілген IP мекенжайы болды. Интернет тез және тұрақты жұмыс істеді.Пәтерде wifi роутер болды және жүк көтергіш қабырға арқылы қосылу жылдамдығы аздап төмендеді. Бір күні маған екі ондаған гигабайт өлшемді файлды жүктеп алу керек болды. Мен неге пәтерге бара жатқан RJ-45-ті тікелей компьютерге қоспасқа деп ойладым.
Көршіңді біл
Бүкіл файлды жүктеп алғаннан кейін мен коммутатор розеткаларындағы көршілермен жақсырақ танысуды шештім.
Көп пәтерлі үйлерде Интернетке қосылу көбінесе провайдерден оптикалық талшық арқылы келеді, сымдар шкафына қосқыштардың біріне кіреді және Ethernet кабельдері арқылы кірулер мен пәтерлер арасында таратылады, егер біз ең қарабайыр қосылу схемасын қарастырсақ. Иә, қазірдің өзінде оптика тікелей пәтерге (GPON) баратын технология бар, бірақ бұл әлі кең таралмаған.
Бір үйдің масштабында өте жеңілдетілген топологияны алсақ, ол келесідей көрінеді:
Бұл провайдердің клиенттері, кейбір көрші пәтерлер бір коммутациялық жабдықта бір жергілікті желіде жұмыс істейді екен.
Тікелей провайдер желісіне қосылған интерфейсте тыңдауды қосу арқылы сіз желідегі барлық хосттардан ұшатын таратылатын ARP трафигін көре аласыз.
Провайдер желіні кішігірім сегменттерге бөлумен көп алаңдамауды шешті, сондықтан 253 хосттан таратылатын трафик бір коммутатордың ішінде ағып, өшірілгендерді есептемегенде, осылайша арнаның өткізу қабілетін бітеп тастайды.
nmap көмегімен желіні сканерлеп, біз бүкіл мекенжай пулынан белсенді хосттардың санын, бағдарламалық құрал нұсқасын және негізгі коммутатордың ашық порттарын анықтадық:
Ал ARP қайда және ARP-спуфинг
Әрі қарайғы әрекеттерді орындау үшін ettercap-графикалық утилитасы қолданылды, қазіргі заманғы аналогтары да бар, бірақ бұл бағдарламалық жасақтама қарапайым графикалық интерфейсімен және пайдаланудың қарапайымдылығымен қызықтырады.
Бірінші бағанда пингке жауап берген барлық маршрутизаторлардың IP мекенжайлары, екіншісінде олардың физикалық мекенжайлары.
Физикалық мекенжай бірегей болып табылады, оны маршрутизатордың географиялық орны және т.б. туралы ақпаратты жинау үшін пайдалануға болады, сондықтан ол осы мақаланың мақсаттары үшін жасырылады.
1-мақсат 192.168.xxx.1 мекенжайы бар негізгі шлюзді қосады, 2-мақсат басқа мекенжайлардың бірін қосады.
Біз өзімізді шлюзге 192.168.xxx.204 мекенжайы бар хост ретінде, бірақ өз MAC мекенжайымызбен таныстырамыз. Содан кейін біз өзімізді пайдаланушы маршрутизаторына 192.168.xxx.1 мекенжайы бар, оның MAC бар шлюз ретінде көрсетеміз. Бұл ARP протоколының осалдығы туралы мәліметтер Google үшін оңай басқа мақалаларда егжей-тегжейлі талқыланады.
Барлық манипуляциялардың нәтижесінде бізде пакеттерді қайта жіберуді қосқаннан кейін біз арқылы өтетін хосттардан трафик бар:
Иә, https қазірдің өзінде дерлік барлық жерде қолданылады, бірақ желі әлі де басқа қорғалмаған протоколдарға толы. Мысалы, DNS жалғандық шабуылы бар бірдей DNS. MITM шабуылының жүзеге асырылуы мүмкін екендігінің өзі көптеген басқа шабуылдарды тудырады. Желіде бірнеше ондаған белсенді хосттар болған кезде жағдай нашарлайды. Бұл корпоративтік желі емес, жеке сектор екенін ескерген жөн және әркімде тиісті шабуылдарды анықтау және оларға қарсы тұру үшін қорғау шаралары бола бермейді.
Оны қалай болдырмауға болады
Провайдер осы мәселеге алаңдауы керек; бір Cisco қосқышы жағдайында мұндай шабуылдардан қорғауды орнату өте қарапайым.
Динамикалық ARP тексеруін (DAI) қосу негізгі шлюз MAC мекенжайының жалған болуын болдырмайды. Таратылым доменін кішірек сегменттерге бөлу кем дегенде ARP трафигінің қатардағы барлық хосттарға таралуына және шабуылға ұшырауы мүмкін хосттар санын азайтуға жол бермеді. Клиент, өз кезегінде, тікелей үй маршрутизаторында VPN орнату арқылы өзін осындай айла-шарғылардан қорғай алады; көптеген құрылғылар бұл функцияны қолдайды.
қорытындылар
Сірә, провайдерлер бұл туралы ойламайды, барлық күш-жігер клиенттердің санын көбейтуге бағытталған. Бұл материал шабуылды көрсету үшін жазылмаған, бірақ сіздің провайдеріңіздің желісі де деректеріңізді тасымалдау үшін өте қауіпсіз болмауы мүмкін екенін еске салу үшін жазылған. Көптеген шағын аймақтық интернет-провайдерлер бар екеніне сенімдімін, олар негізгі желілік жабдықты іске қосу үшін қажет болғаннан артық ештеңе жасамаған.
Ақпарат көзі: www.habr.com