Daudzi uzÅÄmumi mÅ«sdienÄs rÅ«pÄjas par savas infrastruktÅ«ras informÄcijas droŔības nodroÅ”inÄÅ”anu, daži to dara pÄc normatÄ«vo dokumentu pieprasÄ«juma, bet daži to dara jau no pirmÄ incidenta brīža. PÄdÄjÄs tendences liecina, ka incidentu skaits pieaug, un paÅ”i uzbrukumi kļūst arvien sarežģītÄki. Bet jums nav jÄiet tÄlu, briesmas ir daudz tuvÄkas. Å oreiz vÄlos aktualizÄt tÄmu par interneta pakalpojumu sniedzÄju droŔību. VietnÄ HabrĆ© ir ziÅas, kurÄs Ŕī tÄma tika apspriesta lietojumprogrammas lÄ«menÄ«. Å ajÄ rakstÄ galvenÄ uzmanÄ«ba tiks pievÄrsta droŔībai tÄ«kla un datu saites lÄ«menÄ«.
KÄ viss sÄkÄs
Pirms kÄda laika dzÄ«voklÄ« tika ierÄ«kots internets no jauna pakalpojumu sniedzÄja, iepriekÅ” interneta pakalpojumi uz dzÄ«vokli tika piegÄdÄti, izmantojot ADSL tehnoloÄ£iju. TÄ kÄ mÄjÄs pavadu maz laika, mobilais internets bija pieprasÄ«tÄks nekÄ mÄjas internets. PÄrejot uz attÄlinÄto darbu, nolÄmu, ka mÄjas internetam ar Ätrumu 50-60 Mb/s vienkÄrÅ”i nepietiek un nolÄmu palielinÄt Ätrumu. Ar ADSL tehnoloÄ£iju tehnisku iemeslu dÄļ nav iespÄjams palielinÄt Ätrumu virs 60 Mb/s. Tika nolemts pÄriet uz citu pakalpojumu sniedzÄju ar citu deklarÄto Ätrumu un pakalpojumu sniegÅ”anu nevis caur ADSL.
Tas varÄja bÅ«t kaut kas cits
SazinÄjÄs ar interneta pakalpojumu sniedzÄja pÄrstÄvi. Atbrauca uzstÄdÄ«tÄji, izurba dzÄ«voklÄ« caurumu un uzstÄdÄ«ja plÄkstera vadu RJ-45. ViÅi man iedeva vienoÅ”anos un instrukcijas ar tÄ«kla iestatÄ«jumiem, kas jÄiestata marÅ”rutÄtÄjÄ (speciÄlÄ IP, vÄrteja, apakÅ”tÄ«kla maska āāun viÅu DNS IP adreses), paÅÄma samaksu par pirmo darba mÄnesi un aizgÄja. Kad mÄjas marÅ”rutÄtÄjÄ ievadÄ«ju man dotos tÄ«kla iestatÄ«jumus, dzÄ«voklÄ« uzsprÄga internets. Jauna abonenta sÄkotnÄjÄs pieteikÅ”anÄs procedÅ«ra man Ŕķita pÄrÄk vienkÄrÅ”a. PrimÄrÄ autorizÄcija netika veikta, un mans identifikators bija man pieŔķirtÄ IP adrese. Internets darbojÄs Ätri un stabili.DzÄ«voklÄ« bija wifi rÅ«teris un caur nesoÅ”o sienu pieslÄguma Ätrums nedaudz kritÄs. KÄdu dienu man vajadzÄja lejupielÄdÄt failu, kura izmÄrs ir divi desmiti gigabaitu. NodomÄju, kÄpÄc gan nepieslÄgt uz dzÄ«vokli ejoÅ”o RJ-45 tieÅ”i pie PC.
PazÄ«sti savu tuvÄko
LejupielÄdÄjot visu failu, es nolÄmu tuvÄk iepazÄ«ties ar kaimiÅiem slÄdžu ligzdÄs.
DaudzdzÄ«vokļu mÄjÄs interneta pieslÄgums bieži nÄk no pakalpojumu sniedzÄja caur optisko Ŕķiedru, nonÄk vadu skapÄ« vienÄ no slÄdžiem un tiek sadalÄ«ts starp ieejÄm un dzÄ«vokļiem pa Ethernet kabeļiem, ja Åemam vÄrÄ primitÄ«vÄko savienojuma shÄmu. JÄ, jau ir tehnoloÄ£ija, kur optika iet tieÅ”i uz dzÄ«vokli (GPON), taÄu tÄ vÄl nav izplatÄ«ta.
Ja mÄs Åemam ļoti vienkÄrÅ”otu topoloÄ£iju vienas mÄjas mÄrogÄ, tas izskatÄs apmÄram Å”Ädi:
IzrÄdÄs, ka Ŕī pakalpojumu sniedzÄja klienti, daži kaimiÅu dzÄ«vokļi, strÄdÄ vienÄ lokÄlajÄ tÄ«klÄ uz vienas un tÄs paÅ”as komutÄcijas iekÄrtas.
IespÄjojot klausÄ«Å”anos interfeisÄ, kas ir tieÅ”i savienots ar pakalpojumu sniedzÄja tÄ«klu, varat redzÄt ARP pÄrraides trafiku, kas lido no visiem tÄ«kla saimniekiem.
Pakalpojumu sniedzÄjs nolÄma pÄrÄk neuztraukties ar tÄ«kla sadalÄ«Å”anu mazos segmentos, tÄpÄc apraides trafiku no 253 resursdatoriem varÄja plÅ«st vienÄ slÄdžÄ, neskaitot tos, kas bija izslÄgti, tÄdÄjÄdi aizsÄrÄjot kanÄla joslas platumu.
PÄc tÄ«kla skenÄÅ”anas, izmantojot nmap, mÄs noteicÄm aktÄ«vo saimniekdatoru skaitu no visa adreÅ”u kopas, programmatÅ«ras versiju un galvenÄ slÄdža atvÄrtajiem portiem:
Un kur tur ARP un ARP-spoofing
TurpmÄko darbÄ«bu veikÅ”anai tika izmantota etrcap-grafiskÄ utilÄ«ta, ir arÄ« modernÄki analogi, taÄu Ŕī programmatÅ«ra piesaista ar savu primitÄ«vo grafisko interfeisu un lietoÅ”anas Ärtumu.
PirmajÄ kolonnÄ ir visu marÅ”rutÄtÄju IP adreses, kas atbildÄja uz ping, otrajÄ ir to fiziskÄs adreses.
FiziskÄ adrese ir unikÄla; to var izmantot, lai apkopotu informÄciju par marÅ”rutÄtÄja Ä£eogrÄfisko atraÅ”anÄs vietu utt., tÄpÄc Ŕī raksta vajadzÄ«bÄm tÄ tiks paslÄpta.
1. mÄrÄ·is pievieno galveno vÄrteju ar adresi 192.168.xxx.1, 2. mÄrÄ·is pievieno vienu no pÄrÄjÄm adresÄm.
MÄs iepazÄ«stamies ar vÄrteju kÄ saimniekdatoru ar adresi 192.168.xxx.204, bet ar savu MAC adresi. PÄc tam mÄs sevi piedÄvÄjam lietotÄja marÅ”rutÄtÄjam kÄ vÄrteju ar adresi 192.168.xxx.1 ar tÄ MAC. SÄ«kÄka informÄcija par Å”o ARP protokola ievainojamÄ«bu ir detalizÄti aplÅ«kota citos rakstos, kurus Google var viegli izmantot.
Visu manipulÄciju rezultÄtÄ mums ir trafika no saimniekiem, kas iet caur mums, iepriekÅ” iespÄjojot pakeÅ”u pÄrsÅ«tÄ«Å”anu:
JÄ, https jau tiek izmantots gandrÄ«z visur, taÄu tÄ«kls joprojÄm ir pilns ar citiem nenodroÅ”inÄtiem protokoliem. PiemÄram, tas pats DNS ar DNS viltoÅ”anas uzbrukumu. Pats fakts, ka var veikt MITM uzbrukumu, izraisa daudzus citus uzbrukumus. SituÄcijas pasliktinÄs, ja tÄ«klÄ ir pieejami vairÄki desmiti aktÄ«vu saimniekdatoru. Ir vÄrts uzskatÄ«t, ka tas ir privÄtais sektors, nevis korporatÄ«vs tÄ«kls, un ne visiem ir aizsardzÄ«bas pasÄkumi, lai atklÄtu un novÄrstu saistÄ«tos uzbrukumus.
KÄ no tÄ izvairÄ«ties
Pakalpojumu sniedzÄjam ir jÄuztraucas par Å”o problÄmu; tÄ paÅ”a Cisco slÄdža gadÄ«jumÄ aizsardzÄ«bas iestatÄ«Å”ana pret Å”Ädiem uzbrukumiem ir ļoti vienkÄrÅ”a.
IespÄjojot dinamisko ARP pÄrbaudi (DAI), tiks novÄrsta galvenÄs vÄrtejas MAC adreses viltoÅ”ana. Apraides domÄna sadalÄ«Å”ana mazÄkos segmentos novÄrsa vismaz ARP trafika izplatÄ«Å”anos uz visiem resursdatoriem pÄc kÄrtas un samazinÄja to resursdatoru skaitu, kuriem varÄtu tikt uzbrukts. SavukÄrt klients var pasargÄt sevi no Å”ÄdÄm manipulÄcijÄm, iestatot VPN tieÅ”i savÄ mÄjas marÅ”rutÄtÄjÄ, lielÄkÄ daļa ierÄ«Äu jau atbalsta Å”o funkcionalitÄti.
Atzinumi
VisticamÄk, pakalpojumu sniedzÄjiem tas nerÅ«p, visi centieni ir vÄrsti uz klientu skaita palielinÄÅ”anu. Å is materiÄls netika rakstÄ«ts, lai demonstrÄtu uzbrukumu, bet gan lai atgÄdinÄtu, ka pat jÅ«su pakalpojumu sniedzÄja tÄ«kls var nebÅ«t ļoti droÅ”s jÅ«su datu pÄrsÅ«tÄ«Å”anai. Esmu pÄrliecinÄts, ka ir daudzi mazi reÄ£ionÄlie interneta pakalpojumu sniedzÄji, kuri nav darÄ«juÅ”i neko vairÄk, kÄ nepiecieÅ”ams, lai darbinÄtu pamata tÄ«kla aprÄ«kojumu.
Avots: www.habr.com