Багато компаній сьогодні стурбовані питанням забезпечення інформаційної безпеки своєї інфраструктури, деякі це роблять на вимогу документів, що регламентують, а деякі з того моменту, як відбудеться перший інцидент. Останні тенденції показують, що кількість інцидентів зростає, та й самі атаки стають дедалі витонченішими. Але не треба ходити далеко, небезпека знаходиться набагато ближче. Цього разу хотілося б порушити тему безпеки інтернет-провайдерів. На хабрі є пости, в яких обговорювалася дана тема на рівні додатків. У цій статті мова йтиме про безпеку на мережевому та канальному рівнях.
З чого все почалося
Якийсь час тому в квартиру було проведено інтернет від нового провайдера, раніше послуги інтернету поставлялися в квартиру за технологією ADSL. Так як вдома проводжу мало часу, мобільний інтернет був більш затребуваний, ніж домашній. З переходом на віддалення вирішив, що швидкості 50-60 Мб/с для домашнього інтернету прям зовсім мало і вирішив збільшити швидкість. За технологією ADSL з технічних причин швидкість понад 60 Мб/с підняти не вдасться. Вирішили перейти на іншого провайдера з іншою заявленою швидкістю роботи і вже з наданням послуг не за ADSL.
Могло бути якось інакше
Зв'язався із представником інтернет-провайдера. Прийшли монтажники, просвердлили у квартиру отвір, провели патч-корд RJ-45. Дали договір та вказівки з мережними налаштуваннями, які потрібно виставити на роутері (виділений ip, шлюз, маску підмережі та ip адреси своїх DNS), взяли оплату за перший місяць роботи та пішли. Коли я ввів у домашній роутер видані мені налаштування мережі, інтернет увірвався в квартиру. Процедура первинного входу в мережу нового абонента видалася мені надто простою. Жодної первинної авторизації не було зроблено, а моїм ідентифікатором була видана мені ip адреса. Інтернет працював швидко і стабільно. У квартирі працював wifi-роутер і через несучу стіну швидкість з'єднання трохи просідала. В один із днів, потрібно було завантажити файл розміром у два десятки гігабайт. Я і подумав, чому б не підключити RJ-45, що йде в квартиру, безпосередньо в пк.
Знай ближнього свого
Завантаживши весь файл, я вирішив ближче познайомитися з сусідами по гніздах комутатора.
У багатоквартирні будинки найчастіше інтернет-з'єднання йде від провайдера по оптиці, заходить до комутаційної шафи в один із комутаторів і розподіляється між під'їздами, квартирами по Ethernet кабелям, якщо розглядати найпримітивнішу схему підключень. Так, вже є технологія коли оптика йде прямо до квартири (GPON), але це поки що не так повсюдно поширене.
Якщо брати дуже спрощену топологію в масштабах одного будинку, то це виглядає приблизно так:
Виходить так, що клієнти провайдера, деякі сусідні квартири, працюють в одній локальній мережі на одному комутаційному обладнанні.
Увімкнувши прослуховування інтерфейсу, підключеного безпосередньо до мережі провайдера, можна побачити широкомовний ARP трафік, що летить від усіх хостів в мережі.
Провайдер вирішив особливо не морочитися з розбиттям мережі на дрібні сегменти, тому в межах одного комутатора міг гуляти широкомовний трафік з 253 хостів, якщо не рахувати вимкнені, тим самим забиваючи смугу пропускання каналів.
Просканувавши за допомогою nmap мережу, визначилася кількість активних хостів із усього пулу адрес, версія ПЗ та відкриті порти головного комутатора:
А де ARP там поряд і ARP-spoofing
Для здійснення подальших дій була використана утиліта ettercap-graphical, є і більш сучасні аналоги, але цей софт приваблює своїм примітивним графічним інтерфейсом та простотою у використанні.
У першому стовпці IP адреси всіх роутери, що відгукнулися на пінг, у другому їх фізичні адреси.
Фізична адреса є унікальною, за нею можна зібрати інформацію про географічне розташування роутера та інше, тому в рамках цієї статті вона буде прихована.
Метою 1 додаємо основний шлюз з адресою 192.168.xxx.1, метою 2 додаємо одну з інших адрес.
Представляємось шлюзу як хост з адресою 192.168.xxx.204, але зі своєю MAC адресою. Потім роутеру користувача представляємося як шлюз з адресою 192.168.xxx.1 зі своїм MAC. Деталі даної вразливості протоколу ARP детально розібрані в інших статтях, які легко гуглиться.
У результаті всіх маніпуляцій ми маємо трафік з хостів, який йде через нас, попередньо включивши форвардинг пакетів:
Так, майже скрізь вже використовується https, але в мережі ще багато інших незахищених протоколів. Наприклад, той самий DNS з атакою DNS-spoofing. Сам факт можливості здійснення MITM атаки породжує безліч інших атак. Все стає гірше коли в мережі є кілька десятків активних хостів. Варто врахувати, що це приватний сектор, а не корпоративна мережа і не всі коштують засоби захисту виявлення та протидії супутнім атакам.
Як це уникнути
Даною проблемою повинен бути стурбований провайдер, налаштувати захист від подібних атак дуже просто, у випадку того ж самого комутатора Cisco.
Увімкнення Dynamic ARP Inspection (DAI) дозволило б запобігти заміні MAC адреси головного шлюзу. Розбиття широкомовного домену на дрібніші сегменти запобігло хоча б поширенню ARP трафіку на всі хости поспіль і зменшення кількості можливих для атаки хостів. Клієнт у свою чергу може захиститися від подібних маніпуляцій налаштувавши VPN прямо на домашньому роутері, більшість пристроїв вже підтримують цей функціонал.
Висновки
Швидше за все, провайдерам немає до цього, всі сили спрямовані на збільшення кількості клієнтів. Цей матеріал написаний не з метою демонстрації атаки, а з метою нагадати, що навіть мережа вашого провайдера може бути не дуже безпечною для передачі даних. Впевнений, що знайдеться багато дрібних регіональних постачальників інтернет-послуг, які більше, ніж потрібно для елементарної роботи мережного обладнання, нічого не зробили.
Джерело: habr.com