Mnoga podjetja so danes zaskrbljena zaradi zagotavljanja informacijske varnosti svoje infrastrukture, nekatera to počnejo na zahtevo regulativnih dokumentov, druga pa to počnejo od trenutka, ko pride do prvega incidenta. Zadnji trendi kažejo, da število incidentov narašča, sami napadi pa postajajo vse bolj sofisticirani. Vendar vam ni treba iti daleč, nevarnost je veliko bližje. Tokrat bi izpostavil temo varnosti internetnih ponudnikov. Na Habréju so objave, ki obravnavajo to temo na ravni aplikacije. Ta članek se bo osredotočil na varnost na ravni omrežja in podatkovne povezave.
Kako se je vse začelo
Pred časom je bil v stanovanje napeljan internet od novega ponudnika, pred tem pa so bile internetne storitve v stanovanje dostavljene s tehnologijo ADSL. Ker malo časa preživim doma, je bilo povpraševanje po mobilnem internetu večje kot po domačem. S prehodom na delo na daljavo sem se odločil, da hitrost 50-60 Mb/s za domači internet preprosto ni dovolj in sem se odločil hitrost povečati. Pri ADSL tehnologiji iz tehničnih razlogov ni mogoče povečati hitrosti nad 60 Mb/s. Odločeno je bilo, da se preklopi na drugega ponudnika z drugačno deklarirano hitrostjo in z zagotavljanjem storitev ne preko ADSL.
Lahko bi bilo kaj drugače
Stopil v stik s predstavnikom internetnega ponudnika. Prišli so monterji, izvrtali luknjo v stanovanje in napeljali patch kabel RJ-45. Dali so mi pogodbo in navodila z omrežnimi nastavitvami, ki jih je treba nastaviti na routerju (dedicated IP, gateway, subnet mask in IP naslovi njihovega DNS-ja), vzeli plačilo za prvi mesec dela in odšli. Ko sem v domači usmerjevalnik vnesel omrežne nastavitve, ki so mi bile dane, je v stanovanje vdrl internet. Postopek začetne prijave novega naročnika v omrežje se mi je zdel preveč enostaven. Izvedena ni bila nobena primarna avtorizacija in moj identifikator je bil naslov IP, ki sem ga prejel. Internet je deloval hitro in stabilno, v stanovanju je bil wifi usmerjevalnik in skozi nosilno steno je hitrost povezave malo padla. Nekega dne sem moral prenesti datoteko, ki je merila dva ducata gigabajtov. Pomislil sem, zakaj ne bi priključil RJ-45, ki gre v stanovanje, neposredno na računalnik.
Spoznaj svojega bližnjega
Po prenosu celotne datoteke sem se odločil bolje spoznati sosede v stikalnih vtičnicah.
V večstanovanjskih stavbah internetna povezava pogosto prihaja od ponudnika po optičnem vlaknu, gre v omaro z napeljavo v eno od stikal in se razdeli med vhode in stanovanja prek ethernetnih kablov, če upoštevamo najbolj primitivno povezovalno shemo. Ja, že obstaja tehnologija, kjer gre optika kar v stanovanje (GPON), ampak to še ni razširjeno.
Če vzamemo zelo poenostavljeno topologijo v merilu ene hiše, je videti nekako takole:
Izkazalo se je, da stranke tega ponudnika, nekatera sosednja stanovanja, delujejo v istem lokalnem omrežju na isti preklopni opremi.
Če omogočite poslušanje na vmesniku, ki je povezan neposredno z omrežjem ponudnika, lahko vidite oddajni promet ARP, ki teče od vseh gostiteljev v omrežju.
Ponudnik se je odločil, da se ne bo preveč ukvarjal z razdelitvijo omrežja na majhne segmente, tako da je oddajni promet iz 253 gostiteljev lahko stekel znotraj enega stikala, ne da bi šteli tiste, ki so bili izklopljeni in s tem zamašili pasovno širino kanala.
Po pregledu omrežja z nmap smo določili število aktivnih gostiteljev iz celotnega naslovnega bazena, različico programske opreme in odprta vrata glavnega stikala:
In kje je ARP tam in ARP-spoofing
Za izvedbo nadaljnjih dejanj je bil uporabljen grafični pripomoček ettercap; obstajajo tudi sodobnejši analogi, vendar ta programska oprema privlači s primitivnim grafičnim vmesnikom in enostavnostjo uporabe.
V prvem stolpcu so naslovi IP vseh usmerjevalnikov, ki so se odzvali na ping, v drugem pa njihovi fizični naslovi.
Fizični naslov je edinstven; lahko se uporablja za zbiranje informacij o geografski lokaciji usmerjevalnika itd., zato bo za namene tega članka skrit.
Cilj 1 doda glavni prehod z naslovom 192.168.xxx.1, cilj 2 doda enega od drugih naslovov.
Prehodu se predstavimo kot gostitelj z naslovom 192.168.xxx.204, vendar z lastnim MAC naslovom. Nato se uporabniškemu usmerjevalniku predstavimo kot prehod z naslovom 192.168.xxx.1 s svojim MAC-om. Podrobnosti o tej ranljivosti protokola ARP so podrobno obravnavane v drugih člankih, ki jih je enostavno najti v Googlu.
Kot rezultat vseh manipulacij imamo promet od gostiteljev, ki gre skozi nas, pri čemer smo predhodno omogočili posredovanje paketov:
Da, https se že uporablja skoraj povsod, vendar je omrežje še vedno polno drugih nezavarovanih protokolov. Na primer, isti DNS z napadom DNS-spoofing. Že samo dejstvo, da je mogoče izvesti napad MITM, povzroča številne druge napade. Stvari se poslabšajo, ko je v omrežju na voljo več deset aktivnih gostiteljev. Upoštevati je treba, da je to zasebni sektor, ne korporativno omrežje, in nimajo vsi zaščitnih ukrepov za odkrivanje in preprečevanje povezanih napadov.
Kako se temu izogniti
Ponudnik bi moral biti zaskrbljen zaradi te težave, nastavitev zaščite pred takšnimi napadi je v primeru istega stikala Cisco zelo preprosta.
Omogočanje dinamičnega pregledovanja ARP (DAI) bi preprečilo ponarejanje naslova MAC glavnega prehoda. Razbitje oddajne domene na manjše segmente je preprečilo vsaj širjenje prometa ARP na vse gostitelje v vrsti in zmanjšalo število gostiteljev, ki bi lahko bili napadeni. Odjemalec pa se lahko zaščiti pred tovrstnimi manipulacijami tako, da vzpostavi VPN neposredno na domačem usmerjevalniku, večina naprav to funkcionalnost že podpira.
Ugotovitve
Najverjetneje je ponudnikom vseeno za to, vsa prizadevanja so usmerjena v povečanje števila strank. To gradivo ni bilo napisano, da bi prikazali napad, ampak da bi vas opomnili, da celo omrežje vašega ponudnika morda ni zelo varno za prenos vaših podatkov. Prepričan sem, da obstaja veliko majhnih regionalnih ponudnikov internetnih storitev, ki niso naredili nič več, kot je potrebno za delovanje osnovne omrežne opreme.
Vir: www.habr.com