Günümüzde pek çok şirket, altyapılarının bilgi güvenliğinin sağlanması konusunda endişe duymaktadır, bazıları bunu düzenleyici belgelerin talebi üzerine, bazıları ise ilk olayın meydana geldiği andan itibaren yapmaktadır. Son trendler, olay sayısının arttığını ve saldırıların daha karmaşık hale geldiğini gösteriyor. Ama fazla uzağa gitmeye gerek yok, tehlike çok daha yakın. Bu sefer İnternet sağlayıcı güvenliği konusunu gündeme getirmek istiyorum. Habré'de bu konuyu uygulama düzeyinde tartışan gönderiler var. Bu makale ağ ve veri bağlantısı düzeylerinde güvenliğe odaklanacaktır.
С чего все началось
Bir süre önce daireye yeni bir sağlayıcıdan İnternet kuruldu, daha önce daireye ADSL teknolojisi kullanılarak İnternet hizmetleri sağlanıyordu. Evde çok az vakit geçirdiğim için mobil internet ev internetine göre daha fazla rağbet görüyordu. Uzaktan çalışmaya geçişle birlikte ev interneti için 50-60 Mb/s hızının yeterli olmadığına karar verdim ve hızı artırmaya karar verdim. ADSL teknolojisi ile hızın 60 Mb/s'nin üzerine çıkması teknik nedenlerden dolayı mümkün değildir. Farklı beyan edilen hıza sahip ve hizmetlerin ADSL üzerinden sağlanmadığı başka bir sağlayıcıya geçilmesine karar verildi.
Farklı bir şey olabilirdi
İnternet sağlayıcısının bir temsilcisiyle temasa geçildi. Kurulumcular geldi, daireye bir delik açtılar ve bir RJ-45 bağlantı kablosu yerleştirdiler. Bana yönlendiricide ayarlanması gereken ağ ayarları (özel IP, ağ geçidi, alt ağ maskesi ve DNS'lerinin IP adresleri) ile ilgili bir anlaşma ve talimatlar verdiler, işin ilk ayı için ödeme aldılar ve ayrıldılar. Bana verilen ağ ayarlarını ev yönlendiricime girdiğimde internet daireye yayıldı. Yeni bir abonenin ağa ilk giriş yapmasına ilişkin prosedür bana çok basit geldi. Hiçbir birincil yetkilendirme gerçekleştirilmedi ve tanımlayıcım bana verilen IP adresiydi. İnternet hızlı ve istikrarlı bir şekilde çalıştı, dairede bir wifi yönlendirici vardı ve taşıyıcı duvar nedeniyle bağlantı hızı biraz düştü. Bir gün iki düzine gigabayt boyutunda bir dosya indirmem gerekiyordu. Daireye giden RJ-45'i neden doğrudan PC'ye bağlamayalım diye düşündüm.
Komşunu tanı
Dosyanın tamamını indirdikten sonra anahtar prizlerindeki komşuları daha iyi tanımaya karar verdim.
Apartman binalarında, İnternet bağlantısı genellikle sağlayıcıdan optik fiber aracılığıyla gelir, kablo dolabına anahtarlardan birine gider ve en ilkel bağlantı şemasını düşünürsek, girişler ve daireler arasında Ethernet kabloları aracılığıyla dağıtılır. Evet, optiğin doğrudan daireye gittiği bir teknoloji (GPON) zaten var, ancak bu henüz yaygın değil.
Bir ev ölçeğinde çok basitleştirilmiş bir topoloji alırsak, şuna benzer:
Bu sağlayıcının müşterilerinin, bazı komşu dairelerin, aynı anahtarlama ekipmanı üzerinde aynı yerel ağda çalıştığı ortaya çıktı.
Doğrudan sağlayıcının ağına bağlı bir arayüzde dinlemeyi etkinleştirerek, ağdaki tüm ana bilgisayarlardan gelen yayın ARP trafiğini görebilirsiniz.
Sağlayıcı, ağı küçük parçalara bölmekle çok fazla uğraşmamaya karar verdi, böylece 253 ana bilgisayardan gelen yayın trafiği, kapatılanlar hariç tek bir anahtar içinde akabilir ve böylece kanal bant genişliği tıkanabilir.
Ağı nmap kullanarak taradıktan sonra, tüm adres havuzundaki aktif ana bilgisayarların sayısını, yazılım sürümünü ve ana anahtarın açık bağlantı noktalarını belirledik:
Peki ARP nerede ve ARP sahtekarlığı
Daha fazla eylem gerçekleştirmek için ettercap-grafik yardımcı programı kullanıldı, daha modern analoglar da var, ancak bu yazılım ilkel grafik arayüzü ve kullanım kolaylığı ile dikkat çekiyor.
İlk sütunda ping'e yanıt veren tüm yönlendiricilerin IP adresleri, ikinci sütunda ise fiziksel adresleri yer alır.
Fiziksel adres benzersizdir; yönlendiricinin coğrafi konumu vb. hakkında bilgi toplamak için kullanılabilir, dolayısıyla bu makalenin amaçları doğrultusunda gizlenecektir.
Hedef 1, 192.168.xxx.1 adresine sahip ana ağ geçidini ekler, hedef 2 ise diğer adreslerden birini ekler.
Kendimizi ağ geçidine 192.168.xxx.204 adresine sahip, ancak kendi MAC adresimize sahip bir ana bilgisayar olarak tanıtıyoruz. Daha sonra kendimizi MAC'i ile 192.168.xxx.1 adresli bir ağ geçidi olarak kullanıcı yönlendiricisine sunuyoruz. Bu ARP protokolü güvenlik açığının ayrıntıları, Google'ın kolaylıkla anlayabileceği diğer makalelerde ayrıntılı olarak ele alınmaktadır.
Tüm manipülasyonların bir sonucu olarak, daha önce paket iletmeyi etkinleştirmiş olan ana bilgisayarlardan gelen trafiğimiz üzerimizden geçiyor:
Evet, https zaten hemen hemen her yerde kullanılıyor, ancak ağ hala diğer güvenli olmayan protokollerle dolu. Örneğin, DNS sahtekarlığı saldırısıyla aynı DNS. Bir MITM saldırısının gerçekleştirilebilir olması, birçok başka saldırıya da yol açmaktadır. Ağda birkaç düzine aktif ana bilgisayar mevcut olduğunda işler daha da kötüleşir. Bunun kurumsal bir ağ değil, özel sektör olduğunu ve herkesin ilgili saldırıları tespit edip karşı koyacak koruma önlemlerine sahip olmadığını dikkate almakta fayda var.
Bundan nasıl kaçınılır
Sağlayıcının bu sorunla ilgilenmesi gerekir; aynı Cisco anahtarı durumunda bu tür saldırılara karşı korumayı ayarlamak çok basittir.
Dinamik ARP Denetiminin (DAI) etkinleştirilmesi, ana ağ geçidi MAC adresinin sahtekarlığa maruz kalmasını önleyecektir. Yayın alanını daha küçük parçalara bölmek, en azından ARP trafiğinin arka arkaya tüm ana bilgisayarlara yayılmasını ve saldırıya uğrayabilecek ana bilgisayarların sayısını azaltmasını önledi. Müşteri de doğrudan ev yönlendiricisine bir VPN kurarak kendisini bu tür manipülasyonlardan koruyabilir; çoğu cihaz zaten bu işlevi desteklemektedir.
Bulgular
Büyük olasılıkla, sağlayıcılar bunu umursamıyor, tüm çabalar müşteri sayısını artırmayı amaçlıyor. Bu materyal bir saldırıyı göstermek için değil, sağlayıcınızın ağının bile verilerinizin aktarımı için çok güvenli olmayabileceğini size hatırlatmak için yazılmıştır. Temel ağ ekipmanlarını çalıştırmak için gerekenden fazlasını yapmayan birçok küçük bölgesel İnternet servis sağlayıcısının olduğundan eminim.
Kaynak: habr.com