Seueur perusahaan ayeuna prihatin pikeun mastikeun kaamanan inpormasi ngeunaan infrastrukturna, sababaraha ngalakukeun ieu ku pamundut dokumén pangaturan, sareng sababaraha ngalakukeun ieu ti mimiti kajadian anu munggaran. Tren panganyarna nunjukkeun yén jumlah kajadian naék, sareng seranganna sorangan janten langkung canggih. Tapi anjeun henteu kedah jauh, bahaya langkung caket. Waktos ieu abdi hoyong ngangkat topik kaamanan panyadia Internét. Aya tulisan dina Habré anu ngabahas topik ieu dina tingkat aplikasi. Tulisan ieu bakal difokuskeun kaamanan dina tingkat jaringan sareng tautan data.
Kumaha carana sadayana dimimitian
Sababaraha waktos kapengker, Internét dipasang di apartemen ti panyadia énggal; sateuacana, jasa Internét dikirimkeun ka apartemen nganggo téknologi ADSL. Kusabab kuring nyéépkeun sakedik waktos di bumi, Internét sélulér langkung dipénta tibatan Internét di bumi. Kalayan transisi ka padamelan jauh, kuring mutuskeun yén laju 50-60 Mb / s pikeun Internét di bumi ngan saukur henteu cekap sareng mutuskeun pikeun ningkatkeun kagancangan. Kalayan téknologi ADSL, alesan téknis, teu mungkin pikeun ningkatkeun kagancangan di luhur 60 Mb/s. Diputuskeun pikeun ngalih ka panyadia anu sanés kalayan laju anu dinyatakeun béda sareng kalayan nyayogikeun jasa sanés ngalangkungan ADSL.
Bisa jadi hal anu béda
Ngahubungan wawakil panyadia Internet. The installers datang, dibor liang kana apartemen, sarta dipasang hiji RJ-45 patch cord. Aranjeunna masihan kuring hiji perjangjian jeung parentah jeung setelan jaringan nu kudu disetél dina router anu (dedicated IP, gateway, subnet mask jeung alamat IP tina DNS maranéhna), nyandak pamayaran pikeun bulan kahiji gawé sarta ditinggalkeun. Nalika kuring diasupkeun setélan jaringan dibikeun ka kuring kana router imah kuring, Internet burst kana apartemen. Prosedur pikeun login awal palanggan anyar kana jaringan sigana saderhana pisan pikeun kuring. Taya otorisasina primér dipigawé, sarta identifier abdi alamat IP dibikeun ka kuring. Internét digawé gancang sarta stably. Aya router wifi di apartemen jeung ngaliwatan tembok beban-bearing speed sambungan turun saeutik. Hiji poé, kuring diperlukeun pikeun ngundeur file ukuranana dua belasan gigabytes. Teu sangka, naha henteu nyambungkeun RJ-45 bade apartemen langsung ka PC.
Nyaho tatangga anjeun
Saanggeus diundeur sakabéh file, Kuring mutuskeun pikeun dibere nyaho tatanggana di sockets switch hadé.
Dina wangunan apartemen, sambungan Internet mindeng datangna ti panyadia via serat optik, mana kana pacilingan wiring kana salah sahiji saklar sarta disebarkeun antara entrances jeung apartemen via kabel Ethernet, lamun urang nganggap diagram sambungan paling primitif. Leres, parantos aya téknologi dimana optik langsung ka apartemen (GPON), tapi ieu henteu acan nyebar.
Upami urang nyandak topologi anu saderhana pisan dina skala hiji bumi, sigana sapertos kieu:
Tétéla yén klien panyadia ieu, sababaraha apartemen tatangga, dianggo dina jaringan lokal sarua dina alat switching sarua.
Ku ngaktifkeun dengekeun dina panganteur disambungkeun langsung ka jaringan panyadia urang, anjeun tiasa ningali siaran lalulintas ARP ngalayang ti sakabeh host dina jaringan.
Panyadia mutuskeun teu ganggu teuing ku ngabagi jaringan kana bagéan leutik, ku kituna lalulintas siaran ti 253 sarwa bisa ngalir dina hiji switch, teu kaétang nu dipareuman, kukituna clogging up rubakpita saluran.
Saatos nyeken jaringan nganggo nmap, kami nangtukeun jumlah host anu aktip tina sadaya kolam renang alamat, versi parangkat lunak sareng palabuhan kabuka saklar utama:
Na dimana ARP aya na ARP-spoofing
Pikeun ngalaksanakeun tindakan salajengna, utilitas ettercap-grafis dianggo; aya ogé analog anu langkung modern, tapi parangkat lunak ieu narik antarmuka grafis primitif sareng betah dianggo.
Dina kolom kahiji aya alamat IP sadaya router anu ngabales ping, dina kadua nyaéta alamat fisikna.
Alamat fisikna unik, tiasa dianggo pikeun ngumpulkeun inpormasi ngeunaan lokasi geografis router, jsb, ku kituna éta bakal disumputkeun pikeun tujuan tulisan ieu.
Tujuan 1 nambihan gateway utama sareng alamat 192.168.xxx.1, tujuan 2 nambihan salah sahiji alamat anu sanés.
Urang ngenalkeun diri ka gateway salaku host kalayan alamat 192.168.xxx.204, tapi nganggo alamat MAC urang sorangan. Teras we nampilkeun diri ka router pamaké salaku gateway kalawan alamat 192.168.xxx.1 kalawan MAC na. Rincian kerentanan protokol ARP ieu dibahas sacara rinci dina tulisan anu sanés gampang pikeun Google.
Salaku hasil tina sagala manipulasi, urang gaduh lalu lintas ti host anu ngalangkungan kami, saatos ngaktifkeun pakét diteruskeun:
Leres, https parantos dianggo ampir di mana waé, tapi jaringanna masih pinuh ku protokol anu henteu aman. Contona, DNS sarua jeung serangan DNS-spoofing. Kanyataan yén serangan MITM tiasa dilaksanakeun nyababkeun seueur serangan anu sanés. Hal jadi parah lamun aya sababaraha belasan host aktif sadia dina jaringan. Eta sia tempo yén ieu téh swasta, teu jaringan perusahaan, sarta teu sadaya jelema boga ukuran panyalindungan pikeun ngadeteksi na counteract serangan patali.
Kumaha carana ulah eta
Panyadia kedah prihatin ngeunaan masalah ieu; Nyetél panyalindungan ngalawan serangan sapertos saderhana pisan, dina kasus switch Cisco anu sami.
Aktipkeun Dynamic ARP Inspection (DAI) bakal nyegah alamat MAC gateway master tina spoofed. Megatkeun domain siaran kana bagéan leutik nyegah sahenteuna lalulintas ARP ti nyebarkeun ka sadaya host sakaligus tur ngurangan jumlah host anu bisa diserang. Klién, kahareupna tiasa ngajagi dirina tina manipulasi sapertos kitu ku nyetél VPN langsung dina router bumina; kalolobaan alat parantos ngadukung fungsionalitas ieu.
papanggihan
Paling dipikaresep, panyadia teu paduli ngeunaan ieu; sagala usaha ditujukeun pikeun ngaronjatkeun jumlah klien. Bahan ieu henteu ditulis pikeun nunjukkeun serangan, tapi pikeun ngingetkeun yén bahkan jaringan panyadia anjeun tiasa henteu aman pisan pikeun ngirim data anjeun. Kuring yakin aya loba panyadia ladenan Internet régional leutik anu geus dipigawé nanaon leuwih ti diperlukeun pikeun ngajalankeun parabot jaringan dasar.
sumber: www.habr.com