Många företag är idag måna om att säkerställa informationssäkerheten i sin infrastruktur, vissa gör detta på begäran av regulatoriska dokument, och vissa gör detta från det ögonblick den första incidenten inträffar. Den senaste tidens trender visar att antalet incidenter ökar och attackerna i sig blir mer sofistikerade. Men du behöver inte gå långt, faran är mycket närmare. Den här gången skulle jag vilja ta upp ämnet Internetleverantörssäkerhet. Det finns inlägg på Habré som diskuterade detta ämne på applikationsnivå. Den här artikeln kommer att fokusera på säkerhet på nätverks- och datalänknivåer.
Hur allt började
För en tid sedan installerades internet i lägenheten från en ny leverantör, tidigare levererades internettjänster till lägenheten med ADSL-teknik. Eftersom jag tillbringar lite tid hemma var mobilt internet mer efterfrågat än hemnätet. I och med övergången till distansarbete bestämde jag mig för att hastigheten på 50-60 Mb/s för heminternet helt enkelt inte räckte och bestämde mig för att öka hastigheten. Med ADSL-teknik går det av tekniska skäl inte att öka hastigheten över 60 Mb/s. Det beslutades att byta till en annan leverantör med en annan deklarerad hastighet och med tillhandahållande av tjänster som inte sker via ADSL.
Det kunde ha varit något annat
Kontaktade en representant för internetleverantören. Installatörerna kom, borrade ett hål i lägenheten och installerade en RJ-45 lappsladd. De gav mig ett avtal och instruktioner med nätverksinställningarna som måste ställas in på routern (dedikerad IP, gateway, subnätmask och IP-adresser för deras DNS), tog betalt för den första månaden av arbete och gick. När jag angav nätverksinställningarna som jag fick i min hemrouter, brast internet in i lägenheten. Proceduren för en ny abonnents första inloggning till nätverket tycktes mig vara för enkel. Ingen primär auktorisering utfördes och min identifierare var den IP-adress som jag fick. Internet fungerade snabbt och stabilt.Det fanns en wifi-router i lägenheten och genom den bärande väggen sjönk uppkopplingshastigheten lite. En dag behövde jag ladda ner en fil som mätte två dussin gigabyte. Jag tänkte, varför inte ansluta RJ-45:an som går till lägenheten direkt till datorn.
Lär känna din nästa
Efter att ha laddat ner hela filen bestämde jag mig för att lära känna grannarna i växeluttagen bättre.
I flerbostadshus kommer internetuppkopplingen ofta från leverantören via optisk fiber, går in i ledningsskåpet in i en av switcharna och fördelas mellan entréer och lägenheter via Ethernet-kablar, om vi betraktar det mest primitiva anslutningsschemat. Ja, det finns redan en teknik där optik går direkt till lägenheten (GPON), men det är ännu inte utbrett.
Om vi tar en mycket förenklad topologi i skalan av ett hus, ser det ut ungefär så här:
Det visar sig att kunderna till denna leverantör, vissa närliggande lägenheter, arbetar i samma lokala nätverk på samma växlingsutrustning.
Genom att aktivera lyssning på ett gränssnitt som är anslutet direkt till leverantörens nätverk kan du se broadcast ARP-trafik flyga från alla värdar i nätverket.
Leverantören bestämde sig för att inte bry sig för mycket med att dela upp nätverket i små segment, så sändningstrafik från 253 värdar kunde flyta inom en switch, inte räknande de som var avstängda, och därigenom täppte till kanalens bandbredd.
Efter att ha skannat nätverket med nmap bestämde vi antalet aktiva värdar från hela adresspoolen, mjukvaruversionen och öppna portar på huvudswitchen:
Var är ARP och ARP-spoofing?
För att utföra ytterligare åtgärder användes det grafiska verktyget ettercap; det finns mer moderna analoger, men denna programvara lockar med sitt primitiva grafiska gränssnitt och användarvänlighet.
I den första kolumnen finns IP-adresserna för alla routrar som svarade på ping, i den andra är deras fysiska adresser.
Den fysiska adressen är unik, den kan användas för att samla in information om routerns geografiska plats, etc., så den kommer att döljas för den här artikeln.
Mål 1 lägger till huvudporten med adressen 192.168.xxx.1, mål 2 lägger till en av de andra adresserna.
Vi presenterar oss för gatewayen som en värd med adressen 192.168.xxx.204, men med vår egen MAC-adress. Sedan presenterar vi oss för användarroutern som en gateway med adressen 192.168.xxx.1 med dess MAC. Detaljerna för denna ARP-protokollsårbarhet diskuteras i detalj i andra artiklar som är lätta att Google.
Som ett resultat av alla manipulationer har vi trafik från värddatorerna som går genom oss, efter att vi tidigare har aktiverat vidarebefordran av paket:
Ja, https används redan nästan överallt, men nätverket är fortfarande fullt av andra osäkra protokoll. Till exempel samma DNS med en DNS-spoofing-attack. Just det faktum att en MITM-attack kan genomföras ger upphov till många andra attacker. Saker och ting blir värre när det finns flera dussin aktiva värdar tillgängliga på nätverket. Det är värt att tänka på att detta är den privata sektorn, inte ett företagsnätverk, och inte alla har skyddsåtgärder för att upptäcka och motverka relaterade attacker.
Hur man undviker det
Leverantören bör vara orolig över detta problem; att sätta upp skydd mot sådana attacker är mycket enkelt, i fallet med samma Cisco-switch.
Aktivering av Dynamic ARP Inspection (DAI) skulle förhindra att huvudgatewayens MAC-adress förfalskades. Genom att dela upp broadcast-domänen i mindre segment förhindrades åtminstone ARP-trafik från att spridas till alla värdar i rad och minskade antalet värdar som kunde attackeras. Klienten kan i sin tur skydda sig från sådana manipulationer genom att sätta upp en VPN direkt på sin hemrouter; de flesta enheter stöder redan denna funktionalitet.
Resultat
Troligtvis bryr sig inte leverantörerna om detta, alla ansträngningar syftar till att öka antalet kunder. Detta material skrevs inte för att demonstrera en attack, utan för att påminna dig om att även din leverantörs nätverk kanske inte är särskilt säkert för att överföra dina data. Jag är säker på att det finns många små regionala internetleverantörer som inte har gjort något mer än nödvändigt för att köra grundläggande nätverksutrustning.
Källa: will.com