Shumë kompani sot janë të shqetësuara për sigurimin e sigurisë së informacionit të infrastrukturës së tyre, disa e bëjnë këtë me kërkesë të dokumenteve rregullatore dhe disa e bëjnë këtë që nga momenti kur ndodh incidenti i parë. Tendencat e fundit tregojnë se numri i incidenteve po rritet dhe vetë sulmet po bëhen më të sofistikuara. Por nuk keni nevojë të shkoni larg, rreziku është shumë më afër. Këtë herë do të doja të ngrija temën e sigurisë së ofruesve të internetit. Ka postime në Habré që diskutuan këtë temë në nivelin e aplikimit. Ky artikull do të fokusohet në sigurinë në nivelet e rrjetit dhe lidhjes së të dhënave.
Si filloi të gjitha
Pak kohë më parë, në banesë u instalua interneti nga një ofrues i ri, më parë në banesë u dërguan shërbime interneti duke përdorur teknologjinë ADSL. Meqenëse kaloj pak kohë në shtëpi, Interneti celular ishte më i kërkuar sesa Interneti në shtëpi. Me kalimin në punë në distancë, vendosa që shpejtësia 50-60 Mb/s për internetin në shtëpi thjesht nuk ishte e mjaftueshme dhe vendosa të rris shpejtësinë. Me teknologjinë ADSL, për arsye teknike nuk është e mundur të rritet shpejtësia mbi 60 Mb/s. U vendos kalimi në një ofrues tjetër me shpejtësi të ndryshme të deklaruar dhe me ofrimin e shërbimeve jo me ADSL.
Mund të ishte diçka ndryshe
Kontaktoi një përfaqësues të ofruesit të internetit. Instaluesit erdhën, hapën një vrimë në apartament dhe vendosën një kordon patch RJ-45. Ata më dhanë një marrëveshje dhe udhëzime me cilësimet e rrjetit që duhet të vendosen në ruter (IP e dedikuar, gateway, maskë e subnetit dhe adresat IP të DNS-së së tyre), morën pagesën për muajin e parë të punës dhe u larguan. Kur futa cilësimet e rrjetit të dhëna në ruterin tim të shtëpisë, interneti shpërtheu në apartament. Procedura për hyrjen fillestare të një pajtimtari të ri në rrjet më dukej shumë e thjeshtë. Nuk u krye asnjë autorizim primar dhe identifikuesi im ishte adresa IP që më dha. Interneti funksiononte shpejt dhe stabil.Në apartament kishte një router wifi dhe përmes murit mbajtës shpejtësia e lidhjes ra pak. Një ditë, më duhej të shkarkoja një skedar me përmasa dy duzina gigabajt. Mendova, pse të mos lidhni RJ-45 që shkon në apartament direkt me PC-në.
Njih fqinjin tënd
Pasi shkarkova të gjithë skedarin, vendosa të njihem më mirë me fqinjët në prizat e çelësit.
Në ndërtesat e banimit, lidhja me internet shpesh vjen nga ofruesi përmes fibrave optike, futet në dollapin e instalimeve elektrike në një nga çelësat dhe shpërndahet midis hyrjeve dhe apartamenteve përmes kabllove Ethernet, nëse marrim parasysh diagramin e lidhjes më primitive. Po, tashmë ekziston një teknologji ku optika shkon direkt në apartament (GPON), por kjo nuk është ende e përhapur.
Nëse marrim një topologji shumë të thjeshtuar në shkallën e një shtëpie, duket diçka si kjo:
Rezulton se klientët e këtij ofruesi, disa apartamente fqinje, punojnë në të njëjtin rrjet lokal në të njëjtat pajisje komutuese.
Duke aktivizuar dëgjimin në një ndërfaqe të lidhur drejtpërdrejt me rrjetin e ofruesit, mund të shihni trafikun e transmetuar ARP që fluturon nga të gjithë hostet në rrjet.
Ofruesi vendosi të mos shqetësohej shumë me ndarjen e rrjetit në segmente të vogla, kështu që trafiku i transmetimit nga 253 hoste mund të rrjedhë brenda një ndërprerës, pa llogaritur ato që ishin fikur, duke bllokuar kështu gjerësinë e brezit të kanalit.
Pasi skanuam rrjetin duke përdorur nmap, përcaktuam numrin e hosteve aktivë nga i gjithë grupi i adresave, versioni i softuerit dhe portat e hapura të çelësit kryesor:
Dhe ku është ARP atje dhe ARP-spoofing
Për të kryer veprime të mëtejshme, u përdor mjeti grafik ettercap; ka edhe analoge më moderne, por ky softuer tërheq me ndërfaqen e tij grafike primitive dhe lehtësinë e përdorimit.
Në kolonën e parë janë adresat IP të të gjithë ruterave që iu përgjigjën ping-ut, në të dytën janë adresat e tyre fizike.
Adresa fizike është unike; ajo mund të përdoret për të mbledhur informacione rreth vendndodhjes gjeografike të ruterit, etj., kështu që do të fshihet për qëllimet e këtij artikulli.
Objektivi 1 shton portën kryesore me adresën 192.168.xxx.1, qëllimi 2 shton një nga adresat e tjera.
Ne prezantojmë veten në gateway si host me adresën 192.168.xxx.204, por me adresën tonë MAC. Më pas ne i paraqitemi ruterit të përdoruesit si një portë me adresën 192.168.xxx.1 me MAC-në e tij. Detajet e këtij cenueshmërie të protokollit ARP diskutohen në detaje në artikuj të tjerë që janë të lehtë për Google.
Si rezultat i të gjitha manipulimeve, ne kemi trafik nga hostet që kalon përmes nesh, pasi kemi aktivizuar më parë përcjelljen e paketave:
Po, https përdoret tashmë pothuajse kudo, por rrjeti është ende plot me protokolle të tjera të pasigurta. Për shembull, i njëjti DNS me një sulm mashtrimi DNS. Vetë fakti që mund të kryhet një sulm MITM shkakton shumë sulme të tjera. Gjërat përkeqësohen kur ka disa dhjetëra host aktivë të disponueshëm në rrjet. Vlen të merret në konsideratë që ky është sektori privat, jo një rrjet korporativ, dhe jo të gjithë kanë masa mbrojtëse për të zbuluar dhe luftuar sulmet e lidhura me to.
Si ta shmangni atë
Ofruesi duhet të shqetësohet për këtë problem; vendosja e mbrojtjes kundër sulmeve të tilla është shumë e thjeshtë, në rastin e të njëjtit ndërprerës Cisco.
Aktivizimi i Inspektimit Dinamik ARP (DAI) do të parandalonte mashtrimin e adresës MAC të portës kryesore. Ndarja e domenit të transmetimit në segmente më të vogla pengoi të paktën trafikun ARP të përhapet në të gjithë hostet me radhë dhe të reduktojë numrin e hosteve që mund të sulmohen. Klienti, nga ana tjetër, mund të mbrohet nga manipulime të tilla duke vendosur një VPN direkt në ruterin e tij të shtëpisë; shumica e pajisjeve tashmë e mbështesin këtë funksionalitet.
Gjetjet
Me shumë mundësi, ofruesit nuk kujdesen për këtë; të gjitha përpjekjet kanë për qëllim rritjen e numrit të klientëve. Ky material nuk është shkruar për të demonstruar një sulm, por për t'ju kujtuar se edhe rrjeti i ofruesit tuaj mund të mos jetë shumë i sigurt për transmetimin e të dhënave tuaja. Jam i sigurt se ka shumë ofrues të vegjël rajonalë të shërbimeve të internetit që nuk kanë bërë asgjë më shumë sesa është e nevojshme për të drejtuar pajisjet bazë të rrjetit.
Burimi: www.habr.com