Banyak syarikat hari ini prihatin untuk memastikan keselamatan maklumat infrastruktur mereka, ada yang melakukan ini atas permintaan dokumen kawal selia, dan ada yang melakukan ini sejak kejadian pertama berlaku. Trend terkini menunjukkan bahawa bilangan insiden semakin meningkat, dan serangan itu sendiri menjadi lebih canggih. Tetapi anda tidak perlu pergi jauh, bahayanya lebih dekat. Kali ini saya ingin membangkitkan topik keselamatan penyedia Internet. Terdapat siaran di HabrΓ© yang membincangkan topik ini di peringkat permohonan. Artikel ini akan menumpukan pada keselamatan di peringkat rangkaian dan pautan data.
Bagaimana ia bermula?
Beberapa ketika dahulu, Internet telah dipasang di apartmen daripada pembekal baharu; sebelum ini, perkhidmatan Internet dihantar ke apartmen menggunakan teknologi ADSL. Memandangkan saya menghabiskan sedikit masa di rumah, Internet mudah alih lebih diminati berbanding Internet di rumah. Dengan peralihan kepada kerja jauh, saya memutuskan bahawa kelajuan 50-60 Mb/s untuk Internet di rumah adalah tidak mencukupi dan memutuskan untuk meningkatkan kelajuan. Dengan teknologi ADSL, atas sebab teknikal, tidak mungkin untuk meningkatkan kelajuan melebihi 60 Mb/s. Ia telah memutuskan untuk beralih kepada pembekal lain dengan kelajuan yang diisytiharkan berbeza dan dengan penyediaan perkhidmatan bukan melalui ADSL.
Ia mungkin sesuatu yang berbeza
Menghubungi wakil pembekal Internet. Pemasang datang, menggerudi lubang ke dalam apartmen, dan memasang kord tampalan RJ-45. Mereka memberi saya perjanjian dan arahan dengan tetapan rangkaian yang perlu ditetapkan pada penghala (IP khusus, pintu masuk, topeng subnet dan alamat IP DNS mereka), mengambil bayaran untuk bulan pertama kerja dan pergi. Apabila saya memasukkan tetapan rangkaian yang diberikan kepada saya ke dalam penghala rumah saya, Internet meletup masuk ke dalam apartmen. Prosedur untuk log masuk awal pelanggan baru ke rangkaian kelihatan terlalu mudah bagi saya. Tiada kebenaran utama dilakukan dan pengecam saya ialah alamat IP yang diberikan kepada saya. Internet berfungsi dengan cepat dan stabil. Terdapat penghala wifi di apartmen dan melalui dinding galas beban kelajuan sambungan menurun sedikit. Pada suatu hari, saya perlu memuat turun fail berukuran dua dozen gigabait. Saya fikir, mengapa tidak menyambungkan RJ-45 ke apartmen terus ke PC.
Kenali jiran anda
Setelah memuat turun keseluruhan fail, saya memutuskan untuk mengenali jiran dalam soket suis dengan lebih baik.
Di bangunan pangsapuri, sambungan Internet selalunya datang daripada pembekal melalui gentian optik, masuk ke dalam almari pendawaian ke salah satu suis dan diedarkan di antara pintu masuk dan pangsapuri melalui kabel Ethernet, jika kita menganggap gambar rajah sambungan yang paling primitif. Ya, sudah ada teknologi di mana optik pergi terus ke apartmen (GPON), tetapi ini belum meluas.
Jika kita mengambil topologi yang sangat mudah pada skala satu rumah, ia kelihatan seperti ini:
Ternyata pelanggan penyedia ini, beberapa pangsapuri jiran, bekerja dalam rangkaian tempatan yang sama pada peralatan pensuisan yang sama.
Dengan mendayakan mendengar pada antara muka yang disambungkan terus ke rangkaian pembekal, anda boleh melihat trafik ARP siaran terbang dari semua hos pada rangkaian.
Pembekal memutuskan untuk tidak terlalu bersusah payah membahagikan rangkaian kepada segmen kecil, jadi trafik penyiaran daripada 253 hos boleh mengalir dalam satu suis, tidak mengira yang telah dimatikan, dengan itu menyumbat lebar jalur saluran.
Setelah mengimbas rangkaian menggunakan nmap, kami menentukan bilangan hos aktif daripada keseluruhan kumpulan alamat, versi perisian dan port terbuka suis utama:
Dan di manakah ARP di sana dan ARP-spoofing
Untuk menjalankan tindakan selanjutnya, utiliti grafik ettercap telah digunakan; terdapat juga analog yang lebih moden, tetapi perisian ini menarik dengan antara muka grafik primitif dan kemudahan penggunaannya.
Dalam lajur pertama ialah alamat IP semua penghala yang bertindak balas kepada ping, di lajur kedua ialah alamat fizikal mereka.
Alamat fizikal adalah unik; ia boleh digunakan untuk mengumpul maklumat tentang lokasi geografi penghala, dsb., jadi ia akan disembunyikan untuk tujuan artikel ini.
Matlamat 1 menambah gerbang utama dengan alamat 192.168.xxx.1, matlamat 2 menambah salah satu alamat lain.
Kami memperkenalkan diri kami kepada gerbang sebagai hos dengan alamat 192.168.xxx.204, tetapi dengan alamat MAC kami sendiri. Kemudian kami menampilkan diri kami kepada penghala pengguna sebagai pintu masuk dengan alamat 192.168.xxx.1 dengan MACnya. Butiran tentang kerentanan protokol ARP ini dibincangkan secara terperinci dalam artikel lain yang mudah untuk Google.
Hasil daripada semua manipulasi, kami mempunyai trafik daripada hos yang melalui kami, setelah mendayakan pemajuan paket sebelum ini:
Ya, https sudah digunakan hampir di mana-mana, tetapi rangkaian masih penuh dengan protokol tidak selamat yang lain. Contohnya, DNS yang sama dengan serangan pemalsuan DNS. Fakta bahawa serangan MITM boleh dilakukan menimbulkan banyak serangan lain. Keadaan menjadi lebih buruk apabila terdapat beberapa dozen hos aktif yang tersedia pada rangkaian. Perlu dipertimbangkan bahawa ini adalah sektor swasta, bukan rangkaian korporat, dan tidak semua orang mempunyai langkah perlindungan untuk mengesan dan mengatasi serangan berkaitan.
Bagaimana untuk mengelakkannya
Pembekal harus mengambil berat tentang masalah ini; menyediakan perlindungan terhadap serangan sedemikian adalah sangat mudah, dalam kes suis Cisco yang sama.
Mendayakan Pemeriksaan ARP Dinamik (DAI) akan menghalang alamat MAC gerbang induk daripada ditipu. Pecah domain siaran kepada segmen yang lebih kecil menghalang sekurang-kurangnya trafik ARP daripada merebak ke semua hos berturut-turut dan mengurangkan bilangan hos yang boleh diserang. Pelanggan pula boleh melindungi dirinya daripada manipulasi sedemikian dengan menyediakan VPN terus pada penghala rumahnya; kebanyakan peranti sudah menyokong fungsi ini.
Penemuan
Kemungkinan besar, pembekal tidak mengambil berat tentang perkara ini; semua usaha bertujuan untuk meningkatkan bilangan pelanggan. Bahan ini tidak ditulis untuk menunjukkan serangan, tetapi untuk mengingatkan anda bahawa walaupun rangkaian pembekal anda mungkin tidak begitu selamat untuk menghantar data anda. Saya pasti terdapat banyak penyedia perkhidmatan Internet serantau kecil yang tidak melakukan apa-apa selain daripada yang diperlukan untuk menjalankan peralatan rangkaian asas.
Sumber: www.habr.com