บริษัทหลายแห่งในปัจจุบันกังวลเกี่ยวกับการรับรองความปลอดภัยของข้อมูลในโครงสร้างพื้นฐานของตน บริษัทบางแห่งดำเนินการนี้ตามคำขอของเอกสารกำกับดูแล และบางแห่งดำเนินการตั้งแต่วินาทีแรกที่เกิดเหตุการณ์ แนวโน้มล่าสุดแสดงให้เห็นว่าจำนวนเหตุการณ์กำลังเพิ่มขึ้น และการโจมตีเองก็มีความซับซ้อนมากขึ้น แต่ไม่ต้องไปไหนไกล ภัยใกล้ตัวมากขึ้น ครั้งนี้ผมอยากจะยกหัวข้อความปลอดภัยของผู้ให้บริการอินเทอร์เน็ต มีโพสต์เกี่ยวกับHabréที่กล่าวถึงหัวข้อนี้ในระดับการสมัคร บทความนี้จะเน้นเรื่องความปลอดภัยในระดับเครือข่ายและดาต้าลิงค์
วิธีการทั้งหมดเริ่มต้นขึ้น
เมื่อไม่นานมานี้ มีการติดตั้งอินเทอร์เน็ตในอพาร์ตเมนต์จากผู้ให้บริการรายใหม่ ก่อนหน้านี้ บริการอินเทอร์เน็ตถูกส่งไปยังอพาร์ตเมนต์โดยใช้เทคโนโลยี ADSL เนื่องจากฉันใช้เวลาอยู่ที่บ้านเพียงเล็กน้อย อินเทอร์เน็ตบนมือถือจึงเป็นที่ต้องการมากกว่าอินเทอร์เน็ตที่บ้าน เมื่อเปลี่ยนมาทำงานจากระยะไกล ฉันตัดสินใจว่าความเร็ว 50-60 Mb/s สำหรับอินเทอร์เน็ตที่บ้านนั้นไม่เพียงพอและตัดสินใจเพิ่มความเร็ว ด้วยเทคโนโลยี ADSL ด้วยเหตุผลทางเทคนิค จึงไม่สามารถเพิ่มความเร็วเกิน 60 Mb/s ได้ มีการตัดสินใจเปลี่ยนไปใช้ผู้ให้บริการรายอื่นด้วยความเร็วที่ประกาศไว้แตกต่างออกไป และด้วยการให้บริการที่ไม่ผ่าน ADSL
มันอาจมีบางอย่างที่แตกต่างออกไป
ติดต่อตัวแทนของผู้ให้บริการอินเทอร์เน็ต ช่างติดตั้งมา เจาะรูเข้าไปในอพาร์ตเมนต์ และติดตั้งสายแพทช์คอด RJ-45 พวกเขาให้ข้อตกลงและคำแนะนำแก่ฉันเกี่ยวกับการตั้งค่าเครือข่ายที่ต้องตั้งค่าบนเราเตอร์ (IP เฉพาะ, เกตเวย์, ซับเน็ตมาสก์และที่อยู่ IP ของ DNS) รับเงินสำหรับเดือนแรกของการทำงานและออกไป เมื่อฉันเข้าสู่การตั้งค่าเครือข่ายที่มอบให้ฉันในเราเตอร์ที่บ้าน อินเทอร์เน็ตก็ระเบิดเข้าไปในอพาร์ตเมนต์ ขั้นตอนการเข้าสู่ระบบเครือข่ายครั้งแรกของผู้สมัครสมาชิกใหม่ดูเหมือนง่ายเกินไปสำหรับฉัน ไม่มีการอนุญาตหลัก และตัวระบุของฉันคือที่อยู่ IP ที่มอบให้ฉัน อินเทอร์เน็ตทำงานได้อย่างรวดเร็วและเสถียร มีเราเตอร์ wifi ในอพาร์ทเมนท์และความเร็วในการเชื่อมต่อลดลงเล็กน้อยผ่านผนังรับน้ำหนัก วันหนึ่ง ฉันต้องดาวน์โหลดไฟล์ที่มีขนาดสองโหลกิกะไบต์ ฉันคิดว่าทำไมไม่เชื่อมต่อ RJ-45 ที่ไปที่อพาร์ทเมนต์เข้ากับพีซีโดยตรง
รู้จักเพื่อนบ้านของคุณ
เมื่อดาวน์โหลดไฟล์ทั้งหมดแล้ว ฉันจึงตัดสินใจทำความรู้จักกับเพื่อนบ้านในช่องเสียบสวิตช์ให้ดียิ่งขึ้น
ในอาคารอพาร์ตเมนต์ การเชื่อมต่ออินเทอร์เน็ตมักมาจากผู้ให้บริการผ่านใยแก้วนำแสง เข้าไปในตู้เดินสายไฟในสวิตช์ตัวใดตัวหนึ่ง และกระจายระหว่างทางเข้าและอพาร์ทเมนท์ผ่านสายอีเธอร์เน็ต หากเราพิจารณาแผนภาพการเชื่อมต่อแบบดั้งเดิมที่สุด ใช่ มีเทคโนโลยีที่นำแสงตรงไปที่อพาร์ทเมนต์ (GPON) อยู่แล้ว แต่ยังไม่แพร่หลาย
หากเราใช้โทโพโลยีที่เรียบง่ายมากในระดับของบ้านหลังหนึ่ง จะมีลักษณะดังนี้:
ปรากฎว่าลูกค้าของผู้ให้บริการรายนี้ซึ่งเป็นอพาร์ทเมนต์ใกล้เคียงบางแห่งทำงานในเครือข่ายท้องถิ่นเดียวกันบนอุปกรณ์สวิตชิ่งเดียวกัน
ด้วยการเปิดใช้งานการฟังบนอินเทอร์เฟซที่เชื่อมต่อโดยตรงกับเครือข่ายของผู้ให้บริการ คุณสามารถดูการรับส่งข้อมูล ARP ที่ออกอากาศจากโฮสต์ทั้งหมดบนเครือข่าย
ผู้ให้บริการตัดสินใจที่จะไม่กังวลมากเกินไปกับการแบ่งเครือข่ายออกเป็นส่วนเล็กๆ ดังนั้นการรับส่งข้อมูลการออกอากาศจากโฮสต์ 253 แห่งจึงสามารถไหลได้ภายในสวิตช์เดียว โดยไม่นับส่วนที่ปิดอยู่ จึงทำให้แบนด์วิดท์ของช่องสัญญาณอุดตัน
หลังจากสแกนเครือข่ายโดยใช้ nmap เราได้กำหนดจำนวนโฮสต์ที่ใช้งานอยู่จากพูลที่อยู่ทั้งหมด เวอร์ชันซอฟต์แวร์ และพอร์ตที่เปิดของสวิตช์หลัก:
การปลอมแปลง ARP และ ARP อยู่ที่ไหน
ในการดำเนินการเพิ่มเติมจึงใช้ยูทิลิตี้กราฟิก ettercap นอกจากนี้ยังมีอะนาล็อกที่ทันสมัยกว่า แต่ซอฟต์แวร์นี้ดึงดูดด้วยอินเทอร์เฟซกราฟิกแบบดั้งเดิมและใช้งานง่าย
ในคอลัมน์แรกคือที่อยู่ IP ของเราเตอร์ทั้งหมดที่ตอบสนองต่อการ ping ส่วนคอลัมน์ที่สองคือที่อยู่ทางกายภาพ
ที่อยู่ทางกายภาพนั้นไม่ซ้ำกัน สามารถใช้เพื่อรวบรวมข้อมูลเกี่ยวกับตำแหน่งทางภูมิศาสตร์ของเราเตอร์ ฯลฯ ดังนั้นจะถูกซ่อนไว้เพื่อวัตถุประสงค์ของบทความนี้
เป้าหมาย 1 เพิ่มเกตเวย์หลักด้วยที่อยู่ 192.168.xxx.1 เป้าหมาย 2 เพิ่มหนึ่งในที่อยู่อื่น
เราแนะนำตัวเองให้รู้จักกับเกตเวย์ในฐานะโฮสต์ที่มีที่อยู่ 192.168.xxx.204 แต่มีที่อยู่ MAC ของเราเอง จากนั้นเราจะนำเสนอตัวเองต่อเราเตอร์ผู้ใช้เป็นเกตเวย์ที่มีที่อยู่ 192.168.xxx.1 พร้อม MAC รายละเอียดของช่องโหว่โปรโตคอล ARP นี้จะมีการกล่าวถึงโดยละเอียดในบทความอื่นๆ ที่ Google เข้าใจได้ง่าย
จากการปรับเปลี่ยนทั้งหมด เรามีการรับส่งข้อมูลจากโฮสต์ที่ผ่านเรา โดยเปิดใช้งานการส่งต่อแพ็กเก็ตก่อนหน้านี้:
ใช่ https ถูกใช้ไปแล้วเกือบทุกที่ แต่เครือข่ายยังเต็มไปด้วยโปรโตคอลที่ไม่ปลอดภัยอื่นๆ ตัวอย่างเช่น DNS เดียวกันกับการโจมตีด้วยการปลอมแปลง DNS ความจริงที่ว่าการโจมตี MITM สามารถดำเนินการได้ทำให้เกิดการโจมตีอื่นๆ อีกมากมาย สิ่งต่าง ๆ จะแย่ลงเมื่อมีโฮสต์ที่ใช้งานอยู่หลายสิบเครื่องบนเครือข่าย ควรพิจารณาว่านี่คือภาคเอกชน ไม่ใช่เครือข่ายองค์กร และไม่ใช่ทุกคนที่มีมาตรการป้องกันเพื่อตรวจจับและต่อต้านการโจมตีที่เกี่ยวข้อง
จะหลีกเลี่ยงได้อย่างไร
ผู้ให้บริการควรกังวลเกี่ยวกับปัญหานี้ การตั้งค่าการป้องกันการโจมตีนั้นง่ายมาก ในกรณีของสวิตช์ Cisco ตัวเดียวกัน
การเปิดใช้งานการตรวจสอบ ARP แบบไดนามิก (DAI) จะป้องกันไม่ให้ที่อยู่ MAC ของเกตเวย์หลักถูกปลอมแปลง การแบ่งโดเมนการออกอากาศออกเป็นส่วนเล็กๆ จะป้องกันไม่ให้การรับส่งข้อมูล ARP อย่างน้อยแพร่กระจายไปยังโฮสต์ทั้งหมดติดต่อกัน และลดจำนวนโฮสต์ที่อาจถูกโจมตีได้ ในทางกลับกันลูกค้าสามารถป้องกันตัวเองจากการยักย้ายดังกล่าวโดยการตั้งค่า VPN โดยตรงบนเราเตอร์ที่บ้าน อุปกรณ์ส่วนใหญ่รองรับฟังก์ชันนี้อยู่แล้ว
ผลการวิจัย
เป็นไปได้มากว่าผู้ให้บริการจะไม่สนใจเรื่องนี้ความพยายามทั้งหมดมีเป้าหมายเพื่อเพิ่มจำนวนลูกค้า เนื้อหานี้ไม่ได้เขียนขึ้นเพื่อแสดงการโจมตี แต่เพื่อเตือนคุณว่าแม้แต่เครือข่ายของผู้ให้บริการของคุณก็อาจไม่ปลอดภัยในการส่งข้อมูลของคุณ ฉันแน่ใจว่ามีผู้ให้บริการอินเทอร์เน็ตระดับภูมิภาครายย่อยจำนวนมากที่ไม่ได้ทำอะไรมากเกินความจำเป็นในการใช้งานอุปกรณ์เครือข่ายพื้นฐาน
ที่มา: will.com