Wiele firm dzisiaj troszczy się o zapewnienie bezpieczeństwa informacji swojej infrastruktury, niektóre robią to na żądanie dokumentów regulacyjnych, a inne robią to od momentu wystąpienia pierwszego incydentu. Najnowsze trendy pokazują, że liczba incydentów rośnie, a same ataki stają się coraz bardziej wyrafinowane. Ale nie musisz iść daleko, niebezpieczeństwo jest znacznie bliżej. Tym razem chciałbym poruszyć temat bezpieczeństwa dostawców Internetu. Na Habré pojawiły się posty poruszające ten temat na poziomie aplikacji. W tym artykule skupimy się na bezpieczeństwie na poziomie sieci i łącza danych.
Jak to się wszystko zaczęło
Jakiś czas temu w mieszkaniu został zainstalowany Internet od nowego dostawcy, wcześniej usługi internetowe do mieszkania dostarczane były w technologii ADSL. Ponieważ mało czasu spędzam w domu, popyt na Internet mobilny był większy niż na Internet domowy. Wraz z przejściem na pracę zdalną stwierdziłem, że prędkość 50-60 Mb/s dla domowego Internetu to po prostu za mało i postanowiłem zwiększyć prędkość. W technologii ADSL ze względów technicznych nie jest możliwe zwiększenie prędkości powyżej 60 Mb/s. Zdecydowano się na zmianę dostawcy z inną deklarowaną prędkością i świadczeniem usług nie poprzez ADSL.
To mogło być coś innego
Skontaktowałem się z przedstawicielem dostawcy Internetu. Przyjechali instalatorzy, wywiercili dziurę w mieszkaniu i zamontowali patchcord RJ-45. Dali mi umowę i instrukcje dotyczące ustawień sieciowych, które należy ustawić na routerze (dedykowany adres IP, brama, maska podsieci i adresy IP ich DNS), pobrali opłatę za pierwszy miesiąc pracy i odeszli. Kiedy wszedłem do domowego routera podane mi ustawienia sieciowe, do mieszkania wdarł się Internet. Procedura pierwszego logowania nowego abonenta do sieci wydawała mi się zbyt prosta. Nie przeprowadzono żadnej autoryzacji pierwotnej, a moim identyfikatorem był nadany mi adres IP. Internet działał szybko i stabilnie.W mieszkaniu był router Wi-Fi i przez ścianę nośną prędkość połączenia nieco spadła. Któregoś dnia musiałem pobrać plik o wielkości dwóch tuzinów gigabajtów. Pomyślałem, czemu by nie podłączyć RJ-45 wychodzącego do mieszkania bezpośrednio do PC.
Poznaj swojego bliźniego
Po pobraniu całego pliku postanowiłem lepiej poznać sąsiadów w gniazdach przełącznika.
W apartamentowcach łącze internetowe często pochodzi od dostawcy za pośrednictwem światłowodu, trafia do szafy okablowania do jednego z przełączników i jest rozprowadzane pomiędzy wejściami i mieszkaniami za pomocą kabli Ethernet, jeśli weźmiemy pod uwagę najbardziej prymitywny schemat połączeń. Tak, istnieje już technologia, w której optyka trafia bezpośrednio do mieszkania (GPON), ale nie jest to jeszcze powszechne.
Jeśli przyjmiemy bardzo uproszczoną topologię w skali jednego domu, wygląda to mniej więcej tak:
Okazuje się, że klienci tego dostawcy, niektóre sąsiednie mieszkania, pracują w tej samej sieci lokalnej na tym samym sprzęcie przełączającym.
Włączając nasłuchiwanie na interfejsie podłączonym bezpośrednio do sieci dostawcy, możesz zobaczyć rozgłoszeniowy ruch ARP płynący ze wszystkich hostów w sieci.
Dostawca zdecydował się nie zawracać sobie głowy dzieleniem sieci na małe segmenty, aby ruch rozgłoszeniowy z 253 hostów mógł płynąć w obrębie jednego przełącznika, nie licząc tych, które zostały wyłączone, zapychając tym samym przepustowość kanału.
Po przeskanowaniu sieci za pomocą nmap ustaliliśmy ilość aktywnych hostów z całej puli adresów, wersję oprogramowania oraz otwarte porty wyłącznika głównego:
A gdzie tu jest ARP i fałszowanie ARP
Do dalszych działań wykorzystano narzędzie graficzne ettercap-graphical, istnieją również bardziej nowoczesne analogi, ale to oprogramowanie przyciąga prymitywnym interfejsem graficznym i łatwością obsługi.
W pierwszej kolumnie znajdują się adresy IP wszystkich routerów, które odpowiedziały na polecenie ping, w drugiej ich adresy fizyczne.
Adres fizyczny jest unikalny, może służyć do zbierania informacji o lokalizacji geograficznej routera itp., dlatego na potrzeby tego artykułu zostanie ukryty.
Cel 1 dodaje bramę główną o adresie 192.168.xxx.1, cel 2 dodaje jeden z pozostałych adresów.
Bramce przedstawiamy się jako host z adresem 192.168.xxx.204, ale z własnym adresem MAC. Następnie przedstawiamy się routerowi użytkownika jako brama z adresem 192.168.xxx.1 z jego MAC. Szczegóły tej luki w protokole ARP omówiono szczegółowo w innych artykułach, które są łatwe do zrozumienia dla Google.
W wyniku wszystkich manipulacji mamy ruch z hostów, który przechodzi przez nas, po wcześniejszym włączeniu przekazywania pakietów:
Tak, https jest już używany prawie wszędzie, ale sieć wciąż jest pełna innych niezabezpieczonych protokołów. Na przykład ten sam DNS z atakiem polegającym na fałszowaniu DNS. Już sam fakt, że atak MITM może zostać przeprowadzony, powoduje powstanie wielu innych ataków. Sytuacja pogarsza się, gdy w sieci dostępnych jest kilkadziesiąt aktywnych hostów. Warto wziąć pod uwagę, że jest to sektor prywatny, a nie sieć korporacyjna i nie każdy posiada środki ochrony pozwalające na wykrywanie i przeciwdziałanie związanym z tym atakom.
Jak tego uniknąć
Dostawca powinien zaniepokoić się tym problemem, w przypadku tego samego przełącznika Cisco ustawienie ochrony przed takimi atakami jest bardzo proste.
Włączenie dynamicznej inspekcji ARP (DAI) zapobiegnie fałszowaniu adresu MAC bramy głównej. Podział domeny rozgłoszeniowej na mniejsze segmenty zapobiegł przynajmniej rozprzestrzenianiu się ruchu ARP na wszystkie hosty w rzędzie i zmniejszeniu liczby hostów, które mogłyby zostać zaatakowane. Klient z kolei może zabezpieczyć się przed takimi manipulacjami, konfigurując VPN bezpośrednio na swoim domowym routerze, większość urządzeń obsługuje już tę funkcjonalność.
odkrycia
Najprawdopodobniej dostawcy nie przejmują się tym, wszystkie wysiłki mają na celu zwiększenie liczby klientów. Ten materiał nie został napisany w celu zademonstrowania ataku, ale w celu przypomnienia, że nawet sieć Twojego dostawcy może nie być zbyt bezpieczna do przesyłania Twoich danych. Jestem pewien, że istnieje wielu małych, regionalnych dostawców usług internetowych, którzy nie zrobili nic więcej, niż jest to konieczne do obsługi podstawowego sprzętu sieciowego.
Źródło: www.habr.com