Makampuni mengi leo yana wasiwasi juu ya kuhakikisha usalama wa habari wa miundombinu yao, wengine hufanya hivyo kwa ombi la nyaraka za udhibiti, na wengine hufanya hivyo tangu wakati tukio la kwanza linatokea. Mitindo ya hivi karibuni inaonyesha kwamba idadi ya matukio inakua, na mashambulizi yenyewe yanakuwa ya kisasa zaidi. Lakini huna haja ya kwenda mbali, hatari iko karibu zaidi. Wakati huu ningependa kuongeza mada ya usalama wa mtoaji wa mtandao. Kuna machapisho kuhusu Habre ambayo yalijadili mada hii katika kiwango cha maombi. Makala haya yatazingatia usalama katika viwango vya mtandao na data ya kiungo.
Jinsi yote yalianza
Wakati fulani uliopita, mtandao uliwekwa kwenye ghorofa kutoka kwa mtoaji mpya; hapo awali, huduma za mtandao zilitolewa kwa ghorofa kwa kutumia teknolojia ya ADSL. Kwa kuwa mimi hutumia wakati mdogo nyumbani, mtandao wa rununu ulikuwa unahitajika zaidi kuliko mtandao wa nyumbani. Pamoja na mpito kwa kazi ya mbali, niliamua kuwa kasi ya 50-60 Mb / s kwa mtandao wa nyumbani haitoshi tu na niliamua kuongeza kasi. Kwa teknolojia ya ADSL, kwa sababu za kiufundi, haiwezekani kuongeza kasi zaidi ya 60 Mb / s. Iliamuliwa kubadili kwa mtoaji mwingine kwa kasi tofauti iliyotangazwa na kwa utoaji wa huduma sio kupitia ADSL.
Inaweza kuwa kitu tofauti
Aliwasiliana na mwakilishi wa mtoa huduma wa mtandao. Wafungaji walikuja, wakachimba shimo ndani ya ghorofa, na kuweka kamba ya kiraka RJ-45. Walinipa makubaliano na maagizo na mipangilio ya mtandao ambayo inahitaji kuwekwa kwenye router (IP iliyojitolea, lango, mask ya subnet na anwani za IP za DNS zao), walichukua malipo kwa mwezi wa kwanza wa kazi na kushoto. Nilipoingia kwenye mipangilio ya mtandao niliyopewa kwenye kipanga njia changu cha nyumbani, mtandao uliingia ndani ya ghorofa. Utaratibu wa kuingia kwa msajili mpya kwenye mtandao ulionekana kuwa rahisi sana kwangu. Hakuna idhini ya msingi iliyofanywa, na kitambulisho changu kilikuwa anwani ya IP niliyopewa. Mtandao ulifanya kazi haraka na kwa utulivu.Kulikuwa na kipanga njia cha wifi katika ghorofa na kupitia ukuta wa kubeba mzigo kasi ya uunganisho ilishuka kidogo. Siku moja, nilihitaji kupakua faili yenye kupima gigabaiti mbili. Nilidhani, kwa nini usiunganishe RJ-45 kwenda kwenye ghorofa moja kwa moja kwenye PC.
Mjue jirani yako
Baada ya kupakua faili nzima, niliamua kuwajua majirani kwenye soketi za kubadili vizuri zaidi.
Katika majengo ya ghorofa, muunganisho wa Mtandao mara nyingi hutoka kwa mtoaji kupitia nyuzi za macho, huingia kwenye chumbani ya waya kwenye moja ya swichi na husambazwa kati ya viingilio na vyumba kupitia nyaya za Ethernet, ikiwa tunazingatia mchoro wa uunganisho wa zamani zaidi. Ndiyo, tayari kuna teknolojia ambapo optics huenda moja kwa moja kwenye ghorofa (GPON), lakini hii bado haijaenea.
Ikiwa tutachukua topolojia iliyorahisishwa sana kwa kiwango cha nyumba moja, inaonekana kama hii:
Inatokea kwamba wateja wa mtoa huduma huyu, vyumba vingine vya jirani, hufanya kazi katika mtandao huo wa ndani kwenye vifaa sawa vya kubadili.
Kwa kuwezesha usikilizaji kwenye kiolesura kilichounganishwa moja kwa moja kwenye mtandao wa mtoa huduma, unaweza kuona trafiki ya ARP ikiruka kutoka kwa wapangishaji wote kwenye mtandao.
Mtoa huduma aliamua kutojisumbua sana kwa kugawa mtandao katika sehemu ndogo, kwa hivyo trafiki ya utangazaji kutoka kwa majeshi 253 inaweza kutiririka ndani ya swichi moja, bila kuhesabu zile ambazo zimezimwa, na hivyo kuziba kipimo cha data cha kituo.
Baada ya kuchanganua mtandao kwa kutumia nmap, tulibaini idadi ya wapangishi amilifu kutoka kwa kundi zima la anwani, toleo la programu na milango wazi ya swichi kuu:
Na wapi ARP huko na ARP-spoofing
Ili kutekeleza vitendo zaidi, matumizi ya picha ya ettercap yalitumiwa; pia kuna analogi za kisasa zaidi, lakini programu hii inavutia na kiolesura chake cha awali cha picha na urahisi wa kutumia.
Katika safu ya kwanza ni anwani za IP za routers zote zilizoitikia ping, kwa pili ni anwani zao za kimwili.
Anwani ya mahali ni ya kipekee; inaweza kutumika kukusanya taarifa kuhusu eneo la kijiografia ya kipanga njia, nk, kwa hivyo itafichwa kwa madhumuni ya makala hii.
Lengo la 1 linaongeza lango kuu lenye anwani 192.168.xxx.1, lengo la 2 linaongeza mojawapo ya anwani zingine.
Tunajitambulisha kwenye lango kama mwenyeji kwa anwani 192.168.xxx.204, lakini kwa anwani yetu ya MAC. Kisha tunajiwasilisha kwa kipanga njia cha mtumiaji kama lango lenye anwani 192.168.xxx.1 na MAC yake. Maelezo ya athari hii ya itifaki ya ARP yanajadiliwa kwa kina katika makala mengine ambayo ni rahisi kwa Google.
Kama matokeo ya upotoshaji wote, tuna trafiki kutoka kwa wapangishi ambao hupitia kwetu, baada ya kuwasha usambazaji wa pakiti hapo awali:
Ndiyo, https tayari inatumika karibu kila mahali, lakini mtandao bado umejaa itifaki nyingine zisizo salama. Kwa mfano, DNS sawa na shambulio la DNS-spoofing. Ukweli kwamba shambulio la MITM linaweza kutekelezwa husababisha mashambulio mengine mengi. Mambo huwa mabaya zaidi kunapokuwa na wapangishi kadhaa amilifu wanaopatikana kwenye mtandao. Inafaa kuzingatia kwamba hii ni sekta ya kibinafsi, sio mtandao wa ushirika, na sio kila mtu ana hatua za ulinzi ili kugundua na kukabiliana na mashambulizi yanayohusiana.
Jinsi ya kuepuka
Mtoa huduma anapaswa kuwa na wasiwasi juu ya tatizo hili; kuanzisha ulinzi dhidi ya mashambulizi kama hayo ni rahisi sana, katika kesi ya swichi sawa ya Cisco.
Kuwezesha Ukaguzi wa Dynamic ARP (DAI) kungezuia lango kuu la anwani ya MAC kuharibiwa. Kuvunja kikoa cha utangazaji katika sehemu ndogo kulizuia angalau trafiki ya ARP kuenea kwa wapangishaji wote mfululizo na kupunguza idadi ya wapangishaji wanaoweza kushambuliwa. Mteja, kwa upande wake, anaweza kujilinda kutokana na udanganyifu kama huo kwa kusanidi VPN moja kwa moja kwenye kipanga njia chake cha nyumbani; vifaa vingi tayari vinaunga mkono utendakazi huu.
Matokeo
Uwezekano mkubwa zaidi, watoa huduma hawajali hili; juhudi zote zinalenga kuongeza idadi ya wateja. Nyenzo hii haikuandikwa ili kuonyesha shambulio, lakini kukukumbusha kwamba hata mtandao wa mtoa huduma wako unaweza kuwa si salama sana kwa kutuma data yako. Nina hakika kuna watoa huduma wengi wadogo wa mtandao wa kikanda ambao hawajafanya chochote zaidi ya muhimu kuendesha vifaa vya msingi vya mtandao.
Chanzo: mapenzi.com