Mnohé spoločnosti sa dnes zaujímajú o zabezpečenie informačnej bezpečnosti svojej infraštruktúry, niektoré to robia na žiadosť regulačných dokumentov a niektoré to robia od okamihu, keď dôjde k prvému incidentu. Najnovšie trendy ukazujú, že počet incidentov rastie a samotné útoky sú čoraz sofistikovanejšie. Ale nemusíte chodiť ďaleko, nebezpečenstvo je oveľa bližšie. Tentokrát by som chcel nastoliť tému bezpečnosti poskytovateľov internetu. Na Habré sú príspevky, ktoré túto tému rozoberali na aplikačnej úrovni. Tento článok sa zameria na bezpečnosť na úrovni siete a dátového spojenia.
Ako to všetko začalo
Pred časom bol v byte zavedený internet od nového poskytovateľa, predtým boli internetové služby do bytu dodávané technológiou ADSL. Keďže trávim málo času doma, mobilný internet bol žiadanejší ako domáci internet. S prechodom na prácu na diaľku som usúdil, že rýchlosť 50-60 Mb/s pre domáci internet je jednoducho málo a rozhodol som sa rýchlosť zvýšiť. Pri technológii ADSL nie je z technických príčin možné zvýšiť rýchlosť nad 60 Mb/s. Bolo rozhodnuté o prechode k inému poskytovateľovi s inou deklarovanou rýchlosťou a s poskytovaním služieb nie cez ADSL.
Mohlo to byť niečo iné
Kontaktoval zástupcu poskytovateľa internetu. Prišli inštalatéri, vyvŕtali dieru do bytu a nainštalovali prepojovací kábel RJ-45. Dali mi súhlas a pokyny so sieťovými nastaveniami, ktoré je potrebné nastaviť na routeri (vyhradená IP, brána, maska podsiete a IP adresy ich DNS), zobrali platbu za prvý mesiac práce a odišli. Keď som do domáceho smerovača zadal nastavenia siete, ktoré som dostal, do bytu vtrhol internet. Postup pri prvotnom prihlásení nového účastníka do siete sa mi zdal príliš jednoduchý. Nevykonala sa žiadna primárna autorizácia a mojím identifikátorom bola adresa IP, ktorá mi bola pridelená. Internet fungoval rýchlo a stabilne.V byte bol wifi router a cez nosnú stenu rýchlosť pripojenia trochu klesla. Jedného dňa som potreboval stiahnuť súbor s veľkosťou dvoch desiatok gigabajtov. Pomyslel som si, prečo nepripojiť RJ-45 idúcu do bytu priamo k PC.
Poznaj svojho suseda
Po stiahnutí celého súboru som sa rozhodol lepšie spoznať susedov v spínacích zásuvkách.
V bytových domoch internetové pripojenie často prichádza od poskytovateľa cez optické vlákno, ide do rozvodnej skrine do jedného z vypínačov a medzi vchody a byty sa rozvádza cez ethernetové káble, ak vezmeme do úvahy najprimitívnejšiu schému zapojenia. Áno, už existuje technológia, kde optika ide priamo do bytu (GPON), ale tá zatiaľ nie je rozšírená.
Ak vezmeme veľmi zjednodušenú topológiu v mierke jedného domu, vyzerá to asi takto:
Ukazuje sa, že klienti tohto poskytovateľa, niektoré susedné byty, pracujú v rovnakej lokálnej sieti na rovnakom spínacom zariadení.
Povolením počúvania na rozhraní pripojenom priamo k sieti poskytovateľa môžete vidieť prenos ARP vysielaný zo všetkých hostiteľov v sieti.
Poskytovateľ sa rozhodol, že sa nebude príliš obťažovať rozdeľovaním siete na malé segmenty, takže vysielaná prevádzka z 253 hostiteľov môže prúdiť v rámci jedného prepínača, nepočítajúc tých, ktorí boli vypnuté, čím sa upchala šírka pásma kanála.
Po skenovaní siete pomocou nmap sme určili počet aktívnych hostiteľov z celej oblasti adries, verziu softvéru a otvorené porty hlavného prepínača:
A kde je tam ARP a ARP-spoofing
Na vykonanie ďalších akcií sa použil grafický nástroj ettercap; existujú aj modernejšie analógy, ale tento softvér priťahuje primitívne grafické rozhranie a jednoduché použitie.
V prvom stĺpci sú IP adresy všetkých smerovačov, ktoré reagovali na ping, v druhom sú ich fyzické adresy.
Fyzická adresa je jedinečná, možno ju použiť na zhromažďovanie informácií o geografickej polohe smerovača atď., preto bude na účely tohto článku skrytá.
Cieľ 1 pridá hlavnú bránu s adresou 192.168.xxx.1, cieľ 2 pridá jednu z ďalších adries.
Bráne sa predstavujeme ako hostiteľ s adresou 192.168.xxx.204, ale s vlastnou MAC adresou. Používateľskému smerovaču sa potom predstavíme ako brána s adresou 192.168.xxx.1 s jej MAC. Podrobnosti o tejto zraniteľnosti protokolu ARP sú podrobne popísané v iných článkoch, ktoré sú pre Google jednoduché.
V dôsledku všetkých manipulácií máme prevádzku od hostiteľov, ktorá prechádza cez nás, pričom sme predtým povolili presmerovanie paketov:
Áno, https sa už používa takmer všade, ale sieť je stále plná iných nezabezpečených protokolov. Napríklad rovnaký DNS s útokom DNS-spoofing. Samotná skutočnosť, že je možné vykonať útok MITM, vedie k mnohým ďalším útokom. Veci sa zhoršia, keď je v sieti dostupných niekoľko desiatok aktívnych hostiteľov. Stojí za zváženie, že ide o súkromný sektor, nie o podnikovú sieť, a nie každý má ochranné opatrenia na detekciu a boj proti súvisiacim útokom.
Ako sa tomu vyhnúť
Poskytovateľ by sa mal tohto problému obávať, nastavenie ochrany proti takýmto útokom je v prípade rovnakého Cisco switchu veľmi jednoduché.
Povolenie dynamickej kontroly ARP (DAI) by zabránilo sfalšovaniu MAC adresy hlavnej brány. Rozdelenie vysielacej domény na menšie segmenty zabránilo šíreniu aspoň ARP prevádzky na všetkých hostiteľov v rade a znížilo počet hostiteľov, ktorí by mohli byť napadnutí. Klient sa zase môže pred takýmito manipuláciami chrániť nastavením VPN priamo na svojom domácom routeri, väčšina zariadení už túto funkcionalitu podporuje.
Závery
S najväčšou pravdepodobnosťou sa o to poskytovatelia nestarajú, všetko úsilie smeruje k zvýšeniu počtu klientov. Tento materiál nebol napísaný, aby demonštroval útok, ale aby vám pripomenul, že ani sieť vášho poskytovateľa nemusí byť veľmi bezpečná na prenos vašich údajov. Som si istý, že existuje veľa malých regionálnych poskytovateľov internetových služieb, ktorí neurobili nič viac, než je nevyhnutné na spustenie základného sieťového vybavenia.
Zdroj: hab.com