Muitas empresas hoje se preocupam em garantir a segurança da informação de sua infraestrutura, algumas fazem isso a pedido de documentos regulatórios, e outras o fazem desde o momento em que ocorre o primeiro incidente. As tendências recentes mostram que o número de incidentes está a aumentar e os próprios ataques estão a tornar-se mais sofisticados. Mas não precisa ir muito longe, o perigo está muito mais próximo. Desta vez, gostaria de levantar o tema da segurança do provedor de Internet. Existem postagens no Habré que discutiram esse tópico no nível do aplicativo. Este artigo se concentrará na segurança nos níveis de rede e de link de dados.
Como tudo começou
Há algum tempo foi instalada Internet no apartamento de um novo fornecedor, anteriormente os serviços de Internet eram entregues no apartamento através da tecnologia ADSL. Como passo pouco tempo em casa, a Internet móvel era mais procurada do que a Internet doméstica. Com a transição para o trabalho remoto, decidi que a velocidade de 50-60 Mb/s para Internet doméstica simplesmente não era suficiente e decidi aumentar a velocidade. Com a tecnologia ADSL, por motivos técnicos, não é possível aumentar a velocidade acima de 60 Mb/s. Optou-se pela mudança para outro prestador com velocidade declarada diferente e com prestação de serviços não via ADSL.
Poderia ter sido algo diferente
Contatei um representante do provedor de Internet. Os instaladores vieram, fizeram um furo no apartamento e instalaram um patch cord RJ-45. Eles me deram um acordo e instruções com as configurações de rede que precisam ser definidas no roteador (IP dedicado, gateway, máscara de sub-rede e endereços IP de seu DNS), receberam o pagamento do primeiro mês de trabalho e foram embora. Quando inseri as configurações de rede que me foram fornecidas em meu roteador doméstico, a Internet invadiu o apartamento. O procedimento para o login inicial de um novo assinante na rede parecia muito simples para mim. Nenhuma autorização primária foi realizada e meu identificador foi o endereço IP que me foi fornecido. A Internet funcionava de forma rápida e estável, havia um roteador wifi no apartamento e através da parede de suporte a velocidade de conexão caiu um pouco. Um dia, precisei baixar um arquivo de duas dúzias de gigabytes. Pensei, por que não conectar o RJ-45 que vai para o apartamento diretamente no PC.
Conheça o seu próximo
Depois de baixar o arquivo inteiro, resolvi conhecer melhor os vizinhos nas tomadas dos switches.
Nos prédios de apartamentos, a conexão à Internet muitas vezes vem do provedor via fibra óptica, vai para o armário de fiação em um dos switches e é distribuída entre as entradas e os apartamentos por meio de cabos Ethernet, se considerarmos o diagrama de conexão mais primitivo. Sim, já existe uma tecnologia onde a ótica vai direto para o apartamento (GPON), mas isso ainda não está difundido.
Se tomarmos uma topologia muito simplificada na escala de uma casa, será mais ou menos assim:
Acontece que os clientes deste fornecedor, alguns apartamentos vizinhos, trabalham na mesma rede local e no mesmo equipamento de comutação.
Ao ativar a escuta em uma interface conectada diretamente à rede do provedor, você pode ver o tráfego ARP de transmissão voando de todos os hosts na rede.
O provedor decidiu não se preocupar muito em dividir a rede em pequenos segmentos, para que o tráfego de transmissão de 253 hosts pudesse fluir dentro de um switch, sem contar aqueles que estavam desligados, obstruindo assim a largura de banda do canal.
Depois de verificar a rede usando nmap, determinamos o número de hosts ativos de todo o pool de endereços, a versão do software e as portas abertas do switch principal:
E onde está o ARP e a falsificação de ARP
Para realizar outras ações foi utilizado o utilitário gráfico ettercap, também existem análogos mais modernos, mas este software atrai pela sua interface gráfica primitiva e facilidade de uso.
Na primeira coluna estão os endereços IP de todos os roteadores que responderam ao ping, na segunda estão seus endereços físicos.
O endereço físico é único; pode ser usado para coletar informações sobre a localização geográfica do roteador, etc., por isso ficará oculto para os fins deste artigo.
A meta 1 adiciona o gateway principal com o endereço 192.168.xxx.1, a meta 2 adiciona um dos outros endereços.
Apresentamo-nos ao gateway como um host com o endereço 192.168.xxx.204, mas com nosso próprio endereço MAC. Em seguida nos apresentamos ao roteador do usuário como um gateway com o endereço 192.168.xxx.1 com seu MAC. Os detalhes dessa vulnerabilidade do protocolo ARP são discutidos detalhadamente em outros artigos fáceis de ler pelo Google.
Como resultado de todas as manipulações, temos tráfego dos hosts que passa por nós, tendo previamente habilitado o encaminhamento de pacotes:
Sim, o https já é usado em quase todos os lugares, mas a rede ainda está cheia de outros protocolos inseguros. Por exemplo, o mesmo DNS com um ataque de falsificação de DNS. O próprio fato de um ataque MITM poder ser realizado dá origem a muitos outros ataques. As coisas pioram quando há várias dezenas de hosts ativos disponíveis na rede. Vale considerar que se trata do setor privado, não de uma rede corporativa, e nem todos possuem medidas de proteção para detectar e neutralizar os ataques relacionados.
Como evitá-lo
O provedor deve se preocupar com esse problema, configurar a proteção contra tais ataques é muito simples, no caso do mesmo switch Cisco.
Habilitar a Inspeção ARP Dinâmica (DAI) evitaria que o endereço MAC do gateway mestre fosse falsificado. A divisão do domínio de transmissão em segmentos menores evitou que pelo menos o tráfego ARP se espalhasse para todos os hosts consecutivos e reduziu o número de hosts que poderiam ser atacados. O cliente, por sua vez, pode se proteger de tais manipulações configurando uma VPN diretamente em seu roteador doméstico; a maioria dos dispositivos já suporta essa funcionalidade.
Descobertas
Muito provavelmente, os provedores não se importam com isso, todos os esforços visam aumentar o número de clientes. Este material não foi escrito para demonstrar um ataque, mas para lembrar que mesmo a rede do seu provedor pode não ser muito segura para a transmissão dos seus dados. Tenho certeza de que existem muitos pequenos provedores regionais de serviços de Internet que não fizeram nada além do necessário para operar o equipamento básico de rede.
Fonte: habr.com