Daugelis įmonių šiandien rūpinasi savo infrastruktūros informacijos saugumo užtikrinimu, kai kurios tai daro pareikalavusios norminių dokumentų, o kai kurios tai daro nuo pat pirmojo incidento momento. Naujausios tendencijos rodo, kad incidentų daugėja, o pačios atakos tampa vis sudėtingesnės. Bet nereikia eiti toli, pavojus daug arčiau. Šį kartą norėčiau iškelti interneto tiekėjų saugumo temą. Habré yra įrašų, kuriuose ši tema buvo aptariama programos lygiu. Šiame straipsnyje pagrindinis dėmesys bus skiriamas saugumui tinklo ir duomenų ryšio lygiais.
Kaip viskas prasidėjo
Prieš kurį laiką internetas bute buvo įdiegtas iš naujo tiekėjo, anksčiau interneto paslaugos į butą buvo teikiamos naudojant ADSL technologiją. Kadangi namuose praleidžiu mažai laiko, mobilusis internetas buvo paklausesnis nei namų internetas. Perėjus prie nuotolinio darbo nusprendžiau, kad 50-60 Mb/s spartos namų internetui tiesiog neužtenka ir nusprendžiau spartą padidinti. Naudojant ADSL technologiją, dėl techninių priežasčių spartos padidinti virš 60 Mb/s neįmanoma. Nuspręsta pereiti prie kito tiekėjo, kurio deklaruojama kitokia sparta ir paslaugos teikiamos ne per ADSL.
Tai galėjo būti kažkas kitokio
Susisiekė su interneto tiekėjo atstovu. Atvažiavo montuotojai, išgręžė skylę bute, sumontavo pataisymo laidą RJ-45. Jie man davė susitarimą ir instrukcijas su tinklo nustatymais, kuriuos reikia nustatyti maršrutizatoriuje (skirtas IP, šliuzas, potinklio kaukė ir jų DNS IP adresai), paėmė mokėjimą už pirmąjį darbo mėnesį ir išėjo. Kai įvedžiau man duotus tinklo nustatymus į namų maršrutizatorių, į butą įsiveržė internetas. Naujo abonento pradinio prisijungimo prie tinklo procedūra man pasirodė per paprasta. Pirminis autorizavimas nebuvo atliktas, o mano identifikatorius buvo man suteiktas IP adresas. Internetas veikė greitai ir stabiliai.Bute buvo wifi maršrutizatorius ir per laikančiąją sieną ryšio greitis truputį sumažėjo. Vieną dieną man reikėjo atsisiųsti dviejų dešimčių gigabaitų failą. Pagalvojau, kodėl gi neprijungus į butą einančio RJ-45 tiesiai prie PC.
Pažink savo artimą
Atsisiuntus visą failą, nusprendžiau geriau pažinti kaimynus jungiklių lizduose.
Daugiabučiuose namuose interneto ryšys dažnai ateina iš tiekėjo per šviesolaidį, patenka į laidų spintą į vieną iš jungiklių ir yra paskirstomas tarp įėjimų ir butų per Ethernet kabelius, jei laikytume primityviausią prijungimo schemą. Taip, jau yra technologija, kai optika eina tiesiai į butą (GPON), tačiau tai dar nėra plačiai paplitusi.
Jei paimtume labai supaprastintą topologiją vieno namo masteliu, ji atrodytų maždaug taip:
Pasirodo, šio teikėjo klientai, kai kurie kaimyniniai butai, dirba tame pačiame vietiniame tinkle ta pačia perjungimo įranga.
Įjungę klausytis sąsajoje, tiesiogiai prijungtoje prie teikėjo tinklo, galite matyti transliuojamą ARP srautą iš visų tinklo pagrindinių kompiuterių.
Teikėjas nusprendė per daug nesivarginti skirstydamas tinklą į mažus segmentus, todėl transliacijos srautas iš 253 pagrindinių kompiuterių galėjo tekėti per vieną jungiklį, neskaitant tų, kurie buvo išjungti, taip užkimšdami kanalo pralaidumą.
Nuskaitę tinklą naudodami nmap, nustatėme aktyvių kompiuterių skaičių iš viso adresų telkinio, programinės įrangos versiją ir pagrindinio jungiklio atvirus prievadus:
Kur yra ARP ir ARP klastojimas?
Tolimesniems veiksmams atlikti buvo naudojama ettercap-grafinė programa, yra ir modernesnių analogų, tačiau ši programinė įranga vilioja primityvia grafine sąsaja ir naudojimo paprastumu.
Pirmame stulpelyje yra visų maršrutizatorių, kurie atsakė į ping, IP adresai, antrame - jų fiziniai adresai.
Fizinis adresas yra unikalus; jis gali būti naudojamas informacijai apie maršrutizatoriaus geografinę vietą rinkti ir pan., todėl šiame straipsnyje jis bus paslėptas.
1 tikslas prideda pagrindinį šliuzą adresu 192.168.xxx.1, 2 tikslas – vieną iš kitų adresų.
Prisistatome prie šliuzo kaip pagrindinio kompiuterio, kurio adresas yra 192.168.xxx.204, bet su savo MAC adresu. Tada vartotojo maršruto parinktuvui pristatome save kaip vartus su adresu 192.168.xxx.1 su jo MAC. Išsami informacija apie šį ARP protokolo pažeidžiamumą išsamiai aptariama kituose „Google“ lengvai prieinamuose straipsniuose.
Dėl visų manipuliacijų gauname srautą iš prieglobos, kuri praeina per mus, prieš tai įjungę paketų persiuntimą:
Taip, https jau naudojamas beveik visur, bet tinklas vis dar pilnas kitų neapsaugotų protokolų. Pavyzdžiui, tas pats DNS su DNS klaidinimo ataka. Pats faktas, kad MITM ataka gali būti įvykdyta, sukelia daugybę kitų atakų. Viskas pablogėja, kai tinkle yra kelios dešimtys aktyvių prieglobų. Verta manyti, kad tai yra privatus sektorius, o ne įmonių tinklas, ir ne visi turi apsaugos priemones, skirtas aptikti ir atremti susijusias atakas.
Kaip to išvengti
Teikėjas turėtų susirūpinti dėl šios problemos; to paties Cisco jungiklio atveju apsaugos nuo tokių atakų nustatymas yra labai paprastas.
Įjungus dinaminį ARP patikrinimą (DAI), būtų išvengta pagrindinio šliuzo MAC adreso klastojimo. Transliacijos domeno suskaidymas į mažesnius segmentus neleido bent jau ARP srautui plisti į visus pagrindinius kompiuterius iš eilės ir sumažino kompiuterių, kuriuos galima užpulti, skaičių. Klientas savo ruožtu gali apsisaugoti nuo tokių manipuliacijų nustatydamas VPN tiesiai savo namų maršrutizatoriuje; dauguma įrenginių jau palaiko šią funkciją.
išvados
Greičiausiai paslaugų teikėjams tai nerūpi, visos pastangos nukreiptos į klientų skaičiaus didinimą. Ši medžiaga buvo parašyta ne atakai pademonstruoti, o priminti, kad net jūsų teikėjo tinklas gali būti nelabai saugus jūsų duomenims perduoti. Esu tikras, kad yra daug mažų regioninių interneto paslaugų teikėjų, kurie nepadarė nieko daugiau, nei būtina pagrindinei tinklo įrangai paleisti.
Šaltinis: www.habr.com