Veel bedrijven maken zich tegenwoordig zorgen over het waarborgen van de informatiebeveiliging van hun infrastructuur, sommige doen dit op verzoek van regelgevingsdocumenten, en sommige doen dit vanaf het moment dat het eerste incident zich voordoet. Recente trends laten zien dat het aantal incidenten groeit en dat de aanvallen zelf steeds geavanceerder worden. Maar je hoeft niet ver te gaan, het gevaar is veel dichterbij. Deze keer wil ik het onderwerp veiligheid van internetproviders aan de orde stellen. Er zijn berichten op Habré waarin dit onderwerp op applicatieniveau wordt besproken. Dit artikel zal zich richten op beveiliging op netwerk- en datalinkniveau.
Hoe het allemaal begon
Enige tijd geleden werd internet in het appartement geïnstalleerd door een nieuwe provider; voorheen werden internetdiensten via ADSL-technologie in het appartement geleverd. Omdat ik weinig tijd thuis doorbreng, was er meer vraag naar mobiel internet dan thuisinternet. Met de overstap naar werken op afstand besloot ik dat de snelheid van 50-60 Mb/s voor internet thuis simpelweg niet genoeg was en besloot ik de snelheid te verhogen. Met ADSL-technologie is het om technische redenen niet mogelijk om de snelheid boven 60 Mb/s te verhogen. Er is besloten om over te stappen naar een andere aanbieder met een andere aangegeven snelheid en waarbij diensten niet via ADSL worden aangeboden.
Het had iets anders kunnen zijn
Neem contact op met een vertegenwoordiger van de internetprovider. De installateurs kwamen, boorden een gat in het appartement en installeerden een RJ-45-patchkabel. Ze gaven me een overeenkomst en instructies met de netwerkinstellingen die op de router moesten worden ingesteld (speciaal IP-adres, gateway, subnetmasker en IP-adressen van hun DNS), namen de betaling voor de eerste maand werk aan en vertrokken. Toen ik de mij gegeven netwerkinstellingen in mijn thuisrouter invoerde, stormde het internet het appartement binnen. De procedure voor de eerste aanmelding van een nieuwe abonnee op het netwerk leek mij te eenvoudig. Er is geen primaire autorisatie uitgevoerd en mijn identificatie was het aan mij gegeven IP-adres. Het internet werkte snel en stabiel, er was een wifi-router in het appartement en door de dragende muur daalde de verbindingssnelheid iets. Op een dag moest ik een bestand downloaden van twee dozijn gigabytes. Ik dacht: waarom sluit ik de RJ-45 die naar het appartement gaat niet rechtstreeks op de pc aan?
Ken uw naaste
Nadat ik het hele bestand had gedownload, besloot ik mijn buren in de schakelcontactdozen beter te leren kennen.
In appartementsgebouwen komt de internetverbinding vaak via glasvezel van de provider, gaat in de bedradingskast in een van de schakelaars en wordt via ethernetkabels verdeeld tussen ingangen en appartementen, als we het meest primitieve aansluitschema beschouwen. Ja, er is al een technologie waarbij optica rechtstreeks naar het appartement gaat (GPON), maar dit is nog niet wijdverspreid.
Als we een zeer vereenvoudigde topologie op de schaal van één huis nemen, ziet deze er ongeveer zo uit:
Het blijkt dat de klanten van deze aanbieder, enkele aangrenzende appartementen, in hetzelfde lokale netwerk op dezelfde schakelapparatuur werken.
Door het luisteren mogelijk te maken op een interface die rechtstreeks is verbonden met het netwerk van de provider, kunt u uitgezonden ARP-verkeer zien vliegen vanaf alle hosts op het netwerk.
De provider besloot niet al te veel moeite te doen om het netwerk in kleine segmenten te verdelen, zodat het uitzendverkeer van 253 hosts binnen één schakelaar kon stromen, de uitgeschakelde hosts niet meegerekend, waardoor de kanaalbandbreedte verstopt raakte.
Nadat we het netwerk hadden gescand met behulp van nmap, bepaalden we het aantal actieve hosts uit de volledige adrespool, de softwareversie en open poorten van de hoofdschakelaar:
Waar is ARP en ARP-spoofing?
Om verdere acties uit te voeren, werd het grafische hulpprogramma Ettercap gebruikt; er zijn ook modernere analogen, maar deze software trekt aan met zijn primitieve grafische interface en gebruiksgemak.
In de eerste kolom staan de IP-adressen van alle routers die op de ping hebben gereageerd, in de tweede staan hun fysieke adressen.
Het fysieke adres is uniek; het kan worden gebruikt om informatie te verzamelen over de geografische locatie van de router, enz., dus het zal voor de doeleinden van dit artikel verborgen worden.
Doel 1 voegt de hoofdgateway toe met het adres 192.168.xxx.1, doel 2 voegt een van de andere adressen toe.
We stellen ons aan de gateway voor als host met het adres 192.168.xxx.204, maar met ons eigen MAC-adres. Vervolgens presenteren we onszelf aan de gebruikersrouter als een gateway met het adres 192.168.xxx.1 met zijn MAC. De details van deze kwetsbaarheid in het ARP-protocol worden gedetailleerd besproken in andere artikelen die gemakkelijk te Google zijn.
Als gevolg van alle manipulaties hebben we verkeer van de hosts dat via ons gaat, nadat we eerder pakketdoorsturen hebben ingeschakeld:
Ja, https wordt al bijna overal gebruikt, maar het netwerk staat nog vol met andere onbeveiligde protocollen. Bijvoorbeeld dezelfde DNS met een DNS-spoofing-aanval. Juist het feit dat een MITM-aanval kan worden uitgevoerd, geeft aanleiding tot vele andere aanvallen. Het wordt nog erger als er enkele tientallen actieve hosts beschikbaar zijn op het netwerk. Het is de moeite waard om te bedenken dat dit de particuliere sector is en niet een bedrijfsnetwerk, en dat niet iedereen beschermingsmaatregelen heeft om gerelateerde aanvallen te detecteren en tegen te gaan.
Hoe je het kunt vermijden
De provider zou zich zorgen moeten maken over dit probleem; het opzetten van bescherming tegen dergelijke aanvallen is heel eenvoudig, in het geval van dezelfde Cisco-switch.
Als u Dynamic ARP Inspection (DAI) inschakelt, wordt voorkomen dat het MAC-adres van de mastergateway wordt vervalst. Door het uitzenddomein op te delen in kleinere segmenten werd voorkomen dat in ieder geval ARP-verkeer zich naar alle hosts op rij verspreidde, waardoor het aantal hosts dat kon worden aangevallen werd verminderd. De klant kan zichzelf op zijn beurt tegen dergelijke manipulaties beschermen door rechtstreeks op zijn thuisrouter een VPN op te zetten; de meeste apparaten ondersteunen deze functionaliteit al.
Bevindingen
Hoogstwaarschijnlijk maakt het de aanbieders hier niets uit, alle inspanningen zijn gericht op het vergroten van het aantal klanten. Dit materiaal is niet geschreven om een aanval aan te tonen, maar om u eraan te herinneren dat zelfs het netwerk van uw provider mogelijk niet erg veilig is voor het verzenden van uw gegevens. Ik weet zeker dat er veel kleine regionale internetproviders zijn die niets anders hebben gedaan dan nodig is om de basisnetwerkapparatuur te laten draaien.
Bron: www.habr.com