Mitm uzbrukums daudzdzīvokļu nama mērogā

Daudzi uzņēmumi mūsdienās rūpējas par savas infrastruktūras informācijas drošības nodrošināšanu, daži to dara pēc normatīvo dokumentu pieprasījuma, bet daži to dara jau no pirmā incidenta brīža. Pēdējās tendences liecina, ka incidentu skaits pieaug, un paši uzbrukumi kļūst arvien sarežģītāki. Bet jums nav jāiet tālu, briesmas ir daudz tuvākas. Šoreiz vēlos aktualizēt tēmu par interneta pakalpojumu sniedzēju drošību. Vietnē Habré ir ziņas, kurās šī tēma tika apspriesta lietojumprogrammas līmenī. Šajā rakstā galvenā uzmanība tiks pievērsta drošībai tīkla un datu saites līmenī.

Kā viss sākās

Pirms kāda laika dzīvoklī tika ierīkots internets no jauna pakalpojumu sniedzēja, iepriekš interneta pakalpojumi uz dzīvokli tika piegādāti, izmantojot ADSL tehnoloģiju. Tā kā mājās pavadu maz laika, mobilais internets bija pieprasītāks nekā mājas internets. Pārejot uz attālināto darbu, nolēmu, ka mājas internetam ar ātrumu 50-60 Mb/s vienkārši nepietiek un nolēmu palielināt ātrumu. Ar ADSL tehnoloģiju tehnisku iemeslu dēļ nav iespējams palielināt ātrumu virs 60 Mb/s. Tika nolemts pāriet uz citu pakalpojumu sniedzēju ar citu deklarēto ātrumu un pakalpojumu sniegšanu nevis caur ADSL.

Tas varēja būt kaut kas cits

Sazinājās ar interneta pakalpojumu sniedzēja pārstāvi. Atbrauca uzstādītāji, izurba dzīvoklī caurumu un uzstādīja plākstera vadu RJ-45. Viņi man iedeva vienošanos un instrukcijas ar tīkla iestatījumiem, kas jāiestata maršrutētājā (speciālā IP, vārteja, apakštīkla maska ​​un viņu DNS IP adreses), paņēma samaksu par pirmo darba mēnesi un aizgāja. Kad mājas maršrutētājā ievadīju man dotos tīkla iestatījumus, dzīvoklī uzsprāga internets. Jauna abonenta sākotnējās pieteikšanās procedūra man šķita pārāk vienkārša. Primārā autorizācija netika veikta, un mans identifikators bija man piešķirtā IP adrese. Internets darbojās ātri un stabili.Dzīvoklī bija wifi rūteris un caur nesošo sienu pieslēguma ātrums nedaudz kritās. Kādu dienu man vajadzēja lejupielādēt failu, kura izmērs ir divi desmiti gigabaitu. Nodomāju, kāpēc gan nepieslēgt uz dzīvokli ejošo RJ-45 tieši pie PC.

Pazīsti savu tuvāko

Lejupielādējot visu failu, es nolēmu tuvāk iepazīties ar kaimiņiem slēdžu ligzdās.

Daudzdzīvokļu mājās interneta pieslēgums bieži nāk no pakalpojumu sniedzēja caur optisko šķiedru, nonāk vadu skapī vienā no slēdžiem un tiek sadalīts starp ieejām un dzīvokļiem pa Ethernet kabeļiem, ja ņemam vērā primitīvāko savienojuma shēmu. Jā, jau ir tehnoloģija, kur optika iet tieši uz dzīvokli (GPON), taču tā vēl nav izplatīta.

Ja mēs ņemam ļoti vienkāršotu topoloģiju vienas mājas mērogā, tas izskatās apmēram šādi:

Izrādās, ka šī pakalpojumu sniedzēja klienti, daži kaimiņu dzīvokļi, strādā vienā lokālajā tīklā uz vienas un tās pašas komutācijas iekārtas.

Iespējojot klausīšanos interfeisā, kas ir tieši savienots ar pakalpojumu sniedzēja tīklu, varat redzēt ARP pārraides trafiku, kas lido no visiem tīkla saimniekiem.

Pakalpojumu sniedzējs nolēma pārāk neuztraukties ar tīkla sadalīšanu mazos segmentos, tāpēc apraides trafiku no 253 resursdatoriem varēja plūst vienā slēdžā, neskaitot tos, kas bija izslēgti, tādējādi aizsērējot kanāla joslas platumu.

Pēc tīkla skenēšanas, izmantojot nmap, mēs noteicām aktīvo saimniekdatoru skaitu no visa adrešu kopas, programmatūras versiju un galvenā slēdža atvērtajiem portiem:

Un kur tur ARP un ARP-spoofing

Turpmāko darbību veikšanai tika izmantota etrcap-grafiskā utilīta, ir arī modernāki analogi, taču šī programmatūra piesaista ar savu primitīvo grafisko interfeisu un lietošanas ērtumu.

Pirmajā kolonnā ir visu maršrutētāju IP adreses, kas atbildēja uz ping, otrajā ir to fiziskās adreses.

Fiziskā adrese ir unikāla; to var izmantot, lai apkopotu informāciju par maršrutētāja ģeogrāfisko atrašanās vietu utt., tāpēc šī raksta vajadzībām tā tiks paslēpta.

1. mērķis pievieno galveno vārteju ar adresi 192.168.xxx.1, 2. mērķis pievieno vienu no pārējām adresēm.

Mēs iepazīstamies ar vārteju kā saimniekdatoru ar adresi 192.168.xxx.204, bet ar savu MAC adresi. Pēc tam mēs sevi piedāvājam lietotāja maršrutētājam kā vārteju ar adresi 192.168.xxx.1 ar tā MAC. Sīkāka informācija par šo ARP protokola ievainojamību ir detalizēti aplūkota citos rakstos, kurus Google var viegli izmantot.

Visu manipulāciju rezultātā mums ir trafika no saimniekiem, kas iet caur mums, iepriekš iespējojot pakešu pārsūtīšanu:

Jā, https jau tiek izmantots gandrīz visur, taču tīkls joprojām ir pilns ar citiem nenodrošinātiem protokoliem. Piemēram, tas pats DNS ar DNS viltošanas uzbrukumu. Pats fakts, ka var veikt MITM uzbrukumu, izraisa daudzus citus uzbrukumus. Situācijas pasliktinās, ja tīklā ir pieejami vairāki desmiti aktīvu saimniekdatoru. Ir vērts uzskatīt, ka tas ir privātais sektors, nevis korporatīvs tīkls, un ne visiem ir aizsardzības pasākumi, lai atklātu un novērstu saistītos uzbrukumus.

Kā no tā izvairīties

Pakalpojumu sniedzējam ir jāuztraucas par šo problēmu; tā paša Cisco slēdža gadījumā aizsardzības iestatīšana pret šādiem uzbrukumiem ir ļoti vienkārša.

Iespējojot dinamisko ARP pārbaudi (DAI), tiks novērsta galvenās vārtejas MAC adreses viltošana. Apraides domēna sadalīšana mazākos segmentos novērsa vismaz ARP trafika izplatīšanos uz visiem resursdatoriem pēc kārtas un samazināja to resursdatoru skaitu, kuriem varētu tikt uzbrukts. Savukārt klients var pasargāt sevi no šādām manipulācijām, iestatot VPN tieši savā mājas maršrutētājā, lielākā daļa ierīču jau atbalsta šo funkcionalitāti.

Atzinumi

Visticamāk, pakalpojumu sniedzējiem tas nerūp, visi centieni ir vērsti uz klientu skaita palielināšanu. Šis materiāls netika rakstīts, lai demonstrētu uzbrukumu, bet gan lai atgādinātu, ka pat jūsu pakalpojumu sniedzēja tīkls var nebūt ļoti drošs jūsu datu pārsūtīšanai. Esmu pārliecināts, ka ir daudzi mazi reģionālie interneta pakalpojumu sniedzēji, kuri nav darījuši neko vairāk, kā nepieciešams, lai darbinātu pamata tīkla aprīkojumu.

Avots: www.habr.com