Mange bedrifter er i dag opptatt av å sikre informasjonssikkerheten til sin infrastruktur, noen gjør dette på forespørsel fra regulatoriske dokumenter, og noen gjør dette fra det øyeblikket den første hendelsen inntreffer. Nyere trender viser at antallet hendelser øker, og selve angrepene blir mer sofistikerte. Men du trenger ikke gå langt, faren er mye nærmere. Denne gangen vil jeg ta opp temaet Internett-leverandørsikkerhet. Det er innlegg på Habré som diskuterte dette emnet på applikasjonsnivå. Denne artikkelen vil fokusere på sikkerhet på nettverks- og datakoblingsnivå.
Hvordan alt begynte
For en tid siden ble det installert Internett i leiligheten fra en ny leverandør, tidligere ble internetttjenester levert til leiligheten ved hjelp av ADSL-teknologi. Siden jeg tilbringer lite tid hjemme, var mobilt Internett mer etterspurt enn Internett hjemme. Med overgangen til fjernarbeid bestemte jeg meg for at hastigheten på 50-60 Mb/s for hjemmeinternett rett og slett ikke var nok og bestemte meg for å øke hastigheten. Med ADSL-teknologi er det av tekniske årsaker ikke mulig å øke hastigheten over 60 Mb/s. Det ble besluttet å bytte til en annen leverandør med en annen deklarert hastighet og med levering av tjenester ikke via ADSL.
Det kunne vært noe annet
Kontaktet en representant for Internett-leverandøren. Installatørene kom, boret et hull inn i leiligheten og installerte en RJ-45 patch-ledning. De ga meg en avtale og instruksjoner med nettverksinnstillingene som må settes på ruteren (dedikert IP, gateway, subnettmaske og IP-adresser til deres DNS), tok betaling for den første måneden med arbeid og dro. Da jeg skrev inn nettverksinnstillingene gitt til meg i hjemmeruteren min, brast Internett inn i leiligheten. Prosedyren for en ny abonnents første pålogging til nettverket virket for enkel for meg. Ingen primær autorisasjon ble utført, og identifikatoren min var IP-adressen som ble gitt til meg. Internett fungerte raskt og stabilt.Det var wifi-ruter i leiligheten og gjennom den bærende veggen sank tilkoblingshastigheten litt. En dag trengte jeg å laste ned en fil som målte to dusin gigabyte. Jeg tenkte, hvorfor ikke koble RJ-45 til leiligheten direkte til PC-en.
Kjenn din neste
Etter å ha lastet ned hele filen bestemte jeg meg for å bli bedre kjent med naboene i bryterkontaktene.
I bygårder kommer internettforbindelsen ofte fra leverandøren via optisk fiber, går inn i ledningsskapet inn i en av bryterne og fordeles mellom innganger og leiligheter via Ethernet-kabler, hvis vi tar for oss det mest primitive koblingsskjemaet. Ja, det finnes allerede en teknologi der optikk går rett til leiligheten (GPON), men dette er ennå ikke utbredt.
Hvis vi tar en veldig forenklet topologi på skalaen til ett hus, ser det omtrent slik ut:
Det viser seg at kundene til denne leverandøren, noen naboleiligheter, jobber i det samme lokale nettverket på det samme bytteutstyret.
Ved å aktivere lytting på et grensesnitt koblet direkte til leverandørens nettverk, kan du se kringkastet ARP-trafikk flyr fra alle verter på nettverket.
Leverandøren bestemte seg for ikke å bry seg for mye med å dele nettverket i små segmenter, slik at kringkastingstrafikk fra 253 verter kunne flyte innenfor én svitsj, ikke medregnet de som var slått av, og dermed tette opp kanalbåndbredden.
Etter å ha skannet nettverket ved hjelp av nmap, bestemte vi antall aktive verter fra hele adresseutvalget, programvareversjonen og åpne porter på hovedsvitsjen:
Hvor er ARP og ARP-spoofing?
For å utføre ytterligere handlinger ble det ettercap-grafiske verktøyet brukt; det er også mer moderne analoger, men denne programvaren tiltrekker seg med sitt primitive grafiske grensesnitt og brukervennlighet.
I den første kolonnen er IP-adressene til alle rutere som svarte på ping, i den andre er deres fysiske adresser.
Den fysiske adressen er unik; den kan brukes til å samle informasjon om den geografiske plasseringen til ruteren osv., så den vil bli skjult for formålet med denne artikkelen.
Mål 1 legger til hovedporten med adressen 192.168.xxx.1, mål 2 legger til en av de andre adressene.
Vi presenterer oss for gatewayen som en vert med adressen 192.168.xxx.204, men med vår egen MAC-adresse. Deretter presenterer vi oss for brukerruteren som en gateway med adressen 192.168.xxx.1 med sin MAC. Detaljene i denne ARP-protokollsårbarheten er diskutert i detalj i andre artikler som er enkle å Google.
Som et resultat av alle manipulasjonene har vi trafikk fra vertene som går gjennom oss, etter å ha aktivert pakkevideresending tidligere:
Ja, https brukes allerede nesten overalt, men nettverket er fortsatt fullt av andre usikrede protokoller. For eksempel samme DNS med et DNS-spoofing-angrep. Selve det faktum at et MITM-angrep kan gjennomføres, gir opphav til mange andre angrep. Ting blir verre når det er flere dusin aktive verter tilgjengelig på nettverket. Det er verdt å tenke på at dette er privat sektor, ikke et bedriftsnettverk, og ikke alle har beskyttelsestiltak for å oppdage og motvirke relaterte angrep.
Hvordan unngå det
Leverandøren bør være bekymret for dette problemet; å sette opp beskyttelse mot slike angrep er veldig enkelt, i tilfellet med den samme Cisco-svitsjen.
Aktivering av Dynamic ARP Inspection (DAI) vil forhindre at hovedgatewayens MAC-adresse blir forfalsket. Å dele opp kringkastingsdomenet i mindre segmenter forhindret minst ARP-trafikk fra å spre seg til alle verter på rad og redusere antallet verter som kunne bli angrepet. Klienten kan på sin side beskytte seg mot slike manipulasjoner ved å sette opp en VPN direkte på hjemmeruteren; de fleste enheter støtter allerede denne funksjonaliteten.
Funn
Mest sannsynlig bryr ikke tilbyderne seg om dette; all innsats er rettet mot å øke antallet kunder. Dette materialet ble ikke skrevet for å demonstrere et angrep, men for å minne deg på at til og med leverandørens nettverk kanskje ikke er veldig sikkert for å overføre dataene dine. Jeg er sikker på at det er mange små regionale Internett-leverandører som ikke har gjort noe mer enn nødvendig for å kjøre grunnleggende nettverksutstyr.
Kilde: www.habr.com