Maraming mga kumpanya ngayon ang nag-aalala tungkol sa pagtiyak ng seguridad ng impormasyon ng kanilang imprastraktura, ginagawa ito ng ilan sa kahilingan ng mga dokumento ng regulasyon, at ginagawa ito ng ilan mula sa sandaling mangyari ang unang insidente. Ipinapakita ng mga kamakailang uso na ang bilang ng mga insidente ay lumalaki, at ang mga pag-atake mismo ay nagiging mas sopistikado. Ngunit hindi mo kailangang lumayo, ang panganib ay mas malapit. Sa pagkakataong ito, nais kong itaas ang paksa ng seguridad ng Internet provider. May mga post sa HabrΓ© na tinalakay ang paksang ito sa antas ng aplikasyon. Ang artikulong ito ay tumutuon sa seguridad sa network at mga antas ng link ng data.
Paano nagsimula ang lahat ng ito
Ilang oras na ang nakalipas, ang Internet ay na-install sa apartment mula sa isang bagong provider; dati, ang mga serbisyo sa Internet ay naihatid sa apartment gamit ang teknolohiya ng ADSL. Dahil kaunti lang ang oras ko sa bahay, mas in demand ang mobile Internet kaysa sa home Internet. Sa paglipat sa malayong trabaho, napagpasyahan ko na ang bilis ng 50-60 Mb/s para sa Internet sa bahay ay hindi sapat at nagpasya akong dagdagan ang bilis. Sa teknolohiya ng ADSL, para sa mga teknikal na kadahilanan, hindi posible na taasan ang bilis sa itaas ng 60 Mb/s. Napagpasyahan na lumipat sa ibang provider na may ibang ipinahayag na bilis at sa pagbibigay ng mga serbisyo hindi sa pamamagitan ng ADSL.
Maaaring iba ito
Nakipag-ugnayan sa isang kinatawan ng Internet provider. Dumating ang mga installer, nag-drill ng butas sa apartment, at nag-install ng RJ-45 patch cord. Binigyan nila ako ng kasunduan at mga tagubilin sa mga setting ng network na kailangang itakda sa router (nakalaang IP, gateway, subnet mask at mga IP address ng kanilang DNS), kumuha ng bayad para sa unang buwan ng trabaho at umalis. Nang ipasok ko ang mga setting ng network na ibinigay sa akin sa aking home router, ang Internet ay sumabog sa apartment. Ang pamamaraan para sa paunang pag-login ng bagong subscriber sa network ay tila napakasimple para sa akin. Walang pangunahing awtorisasyon ang ginawa, at ang aking identifier ay ang IP address na ibinigay sa akin. Ang Internet ay gumana nang mabilis at matatag. May wifi router sa apartment at sa pamamagitan ng load-bearing wall ay bumaba ng kaunti ang bilis ng koneksyon. Isang araw, kailangan kong mag-download ng file na may sukat na dalawang dosenang gigabytes. Naisip ko, bakit hindi ikonekta ang RJ-45 na papunta sa apartment nang direkta sa PC.
Kilalanin ang iyong kapwa
Nang ma-download ang buong file, nagpasya akong mas kilalanin ang aking mga kapitbahay sa mga switch socket.
Sa mga gusali ng apartment, ang koneksyon sa Internet ay madalas na nagmumula sa provider sa pamamagitan ng optical fiber, pumapasok sa wiring closet sa isa sa mga switch at ipinamamahagi sa pagitan ng mga pasukan at apartment sa pamamagitan ng mga Ethernet cable, kung isasaalang-alang natin ang pinaka-primitive na diagram ng koneksyon. Oo, mayroon nang teknolohiya kung saan ang optika ay dumiretso sa apartment (GPON), ngunit hindi pa ito laganap.
Kung kukuha tayo ng napakasimpleng topology sa sukat ng isang bahay, ganito ang hitsura:
Lumalabas na ang mga kliyente ng provider na ito, ang ilang kalapit na apartment, ay nagtatrabaho sa parehong lokal na network sa parehong kagamitan sa paglipat.
Sa pamamagitan ng pagpapagana ng pakikinig sa isang interface na direktang konektado sa network ng provider, makikita mo ang trapiko ng broadcast na ARP na lumilipad mula sa lahat ng host sa network.
Nagpasya ang provider na huwag masyadong mag-abala sa paghahati ng network sa maliliit na mga segment, kaya ang trapiko ng broadcast mula sa 253 host ay maaaring dumaloy sa loob ng isang switch, hindi mabibilang ang mga naka-off, at sa gayon ay mabara ang bandwidth ng channel.
Nang ma-scan ang network gamit ang nmap, natukoy namin ang bilang ng mga aktibong host mula sa buong address pool, ang bersyon ng software at mga bukas na port ng pangunahing switch:
Nasaan ang ARP at ARP-spoofing?
Upang magsagawa ng karagdagang mga aksyon, ginamit ang ettercap-graphical na utility; mayroon ding mas modernong mga analogue, ngunit ang software na ito ay umaakit sa primitive na graphical na interface at kadalian ng paggamit.
Sa unang hanay ay ang mga IP address ng lahat ng mga router na tumugon sa ping, sa pangalawa ay ang kanilang mga pisikal na address.
Ang pisikal na address ay natatangi; maaari itong magamit upang mangolekta ng impormasyon tungkol sa heyograpikong lokasyon ng router, atbp., kaya ito ay itatago para sa mga layunin ng artikulong ito.
Idinaragdag ng Layunin 1 ang pangunahing gateway na may address na 192.168.xxx.1, idinaragdag ng layunin 2 ang isa sa iba pang mga address.
Ipinakilala namin ang aming sarili sa gateway bilang isang host na may address na 192.168.xxx.204, ngunit gamit ang aming sariling MAC address. Pagkatapos ay ipinakita namin ang aming sarili sa router ng gumagamit bilang isang gateway na may address na 192.168.xxx.1 kasama ang MAC nito. Ang mga detalye ng kahinaan ng ARP protocol na ito ay tinalakay nang detalyado sa iba pang mga artikulo na madaling gamitin ng Google.
Bilang resulta ng lahat ng manipulasyon, mayroon kaming trapiko mula sa mga host na dumaraan sa amin, na dati nang pinagana ang packet forwarding:
Oo, ginagamit na ang https sa halos lahat ng dako, ngunit ang network ay puno pa rin ng iba pang mga hindi secure na protocol. Halimbawa, ang parehong DNS na may DNS-spoofing attack. Ang mismong katotohanan na ang isang pag-atake ng MITM ay maaaring isagawa ay nagbibigay ng maraming iba pang mga pag-atake. Lumalala ang mga bagay kapag mayroong ilang dosenang aktibong host na magagamit sa network. Ito ay nagkakahalaga ng pagsasaalang-alang na ito ay ang pribadong sektor, hindi isang corporate network, at hindi lahat ay may mga hakbang sa proteksyon upang matukoy at malabanan ang mga kaugnay na pag-atake.
Paano ito maiiwasan
Ang provider ay dapat mag-alala tungkol sa problemang ito; ang pag-set up ng proteksyon laban sa mga naturang pag-atake ay napakasimple, sa kaso ng parehong Cisco switch.
Ang pagpapagana ng Dynamic ARP Inspection (DAI) ay mapipigilan ang master gateway MAC address na ma-spoof. Ang paghahati sa domain ng broadcast sa mas maliliit na mga segment ay pumigil sa hindi bababa sa trapiko ng ARP mula sa pagkalat sa lahat ng mga host nang sunud-sunod at bawasan ang bilang ng mga host na maaaring atakehin. Ang kliyente, sa turn, ay maaaring maprotektahan ang kanyang sarili mula sa mga naturang manipulasyon sa pamamagitan ng pag-set up ng VPN nang direkta sa kanyang home router; karamihan sa mga device ay sumusuporta na sa functionality na ito.
Natuklasan
Malamang, walang pakialam ang mga provider tungkol dito; ang lahat ng pagsisikap ay naglalayong madagdagan ang bilang ng mga kliyente. Ang materyal na ito ay hindi isinulat upang magpakita ng pag-atake, ngunit upang ipaalala sa iyo na kahit na ang network ng iyong provider ay maaaring hindi masyadong secure para sa pagpapadala ng iyong data. Sigurado ako na maraming maliliit na panrehiyong tagapagbigay ng serbisyo sa Internet na walang ginawang higit sa kinakailangan upang magpatakbo ng pangunahing kagamitan sa network.
Pinagmulan: www.habr.com