Bugungi kunda ko'plab kompaniyalar o'z infratuzilmasining axborot xavfsizligini ta'minlashdan tashvishda, ba'zilari buni me'yoriy hujjatlar talabiga binoan, ba'zilari esa birinchi voqea sodir bo'lgan paytdan boshlab amalga oshiradilar. So'nggi tendentsiyalar shuni ko'rsatadiki, hodisalar soni ortib bormoqda va hujumlarning o'zi yanada murakkablashmoqda. Lekin uzoqqa borish shart emas, xavf ancha yaqinroq. Bu safar men Internet-provayder xavfsizligi mavzusini ko'tarmoqchiman. HabrΓ©-da ushbu mavzuni dastur darajasida muhokama qilgan postlar mavjud. Ushbu maqola tarmoq va ma'lumotlar havolasi darajasidagi xavfsizlikka qaratilgan.
Qanday qilib hamma narsa boshlandi
Bir muncha vaqt oldin kvartiraga yangi provayderdan Internet o'rnatildi, ilgari Internet xizmatlari ADSL texnologiyasidan foydalangan holda kvartiraga yetkazilar edi. Men uyda kam vaqt o'tkazganim uchun uy Internetidan ko'ra mobil Internetga talab ko'proq edi. Masofaviy ishlashga o'tish bilan men uy Interneti uchun 50-60 Mb / s tezligi shunchaki etarli emas deb qaror qildim va tezlikni oshirishga qaror qildim. ADSL texnologiyasi bilan texnik sabablarga ko'ra tezlikni 60 Mb/s dan oshirish mumkin emas. Boshqa e'lon qilingan tezlikda va ADSL orqali emas, balki xizmatlar ko'rsatadigan boshqa provayderga o'tishga qaror qilindi.
Bu boshqacha bo'lishi mumkin edi
Internet-provayderning vakili bilan bog'landi. O'rnatuvchilar kelib, kvartiraga teshik ochishdi va RJ-45 patch shnurini o'rnatdilar. Ular menga marshrutizatorda o'rnatilishi kerak bo'lgan tarmoq sozlamalari (ajratilgan IP, shlyuz, pastki tarmoq maskasi va ularning DNS IP manzillari) bilan kelishuv va ko'rsatmalar berdilar, ishning birinchi oyi uchun to'lovni oldilar va ketishdi. Menga berilgan tarmoq sozlamalarini uy routerimga kiritganimda, Internet kvartiraga kirib ketdi. Yangi abonentning tarmoqqa dastlabki kirish tartibi men uchun juda oddiy bo'lib tuyuldi. Hech qanday asosiy avtorizatsiya amalga oshirilmadi va mening identifikatorim menga berilgan IP manzil edi. Internet tez va barqaror ishladi.Kvartirada Wi-Fi router bor edi va yuk ko'taruvchi devor orqali ulanish tezligi biroz pasayib ketdi. Bir kuni men ikki o'nlab gigabayt o'lchamdagi faylni yuklab olishim kerak edi. Nima uchun kvartiraga ketayotgan RJ-45 ni to'g'ridan-to'g'ri shaxsiy kompyuterga ulamaslik kerak deb o'yladim.
Yaqiningizni biling
Butun faylni yuklab olib, men kalit rozetkalardagi qo'shnilar bilan yaxshiroq tanishishga qaror qildim.
Turar-joy binolarida Internet aloqasi ko'pincha provayderdan optik tolali orqali keladi, simli shkafga kalitlardan biriga kiradi va agar biz eng ibtidoiy ulanish sxemasini hisobga olsak, Ethernet kabellari orqali kirish va kvartiralar o'rtasida taqsimlanadi. Ha, optika to'g'ridan-to'g'ri kvartiraga (GPON) o'tadigan texnologiya allaqachon mavjud, ammo bu hali keng tarqalmagan.
Agar biz bitta uy miqyosida juda soddalashtirilgan topologiyani olsak, u quyidagicha ko'rinadi:
Ma'lum bo'lishicha, ushbu provayderning mijozlari, ba'zi qo'shni kvartiralar bir xil kommutatsiya uskunasida bitta mahalliy tarmoqda ishlaydi.
To'g'ridan-to'g'ri provayder tarmog'iga ulangan interfeysda tinglashni yoqish orqali siz tarmoqdagi barcha xostlardan uchayotgan translyatsiya ARP trafigini ko'rishingiz mumkin.
Provayder tarmoqni kichik segmentlarga bo'lish bilan ko'p bezovta qilmaslikka qaror qildi, shuning uchun 253 ta xostdan translyatsiya trafigi bitta kommutator ichida o'tishi mumkin, o'chirilganlarni hisobga olmaganda va shu bilan kanalning o'tkazish qobiliyatini to'sib qo'yadi.
Nmap yordamida tarmoqni skanerdan o'tkazgandan so'ng, biz butun manzillar hovuzidan faol xostlar sonini, dasturiy ta'minot versiyasini va asosiy kalitning ochiq portlarini aniqladik:
Va u erda ARP qaerda va ARP-spoofing
Keyingi harakatlarni amalga oshirish uchun ettercap-grafik yordam dasturidan foydalanildi, zamonaviyroq analoglar ham mavjud, ammo bu dastur o'zining ibtidoiy grafik interfeysi va foydalanish qulayligi bilan o'ziga jalb qiladi.
Birinchi ustunda pingga javob bergan barcha marshrutizatorlarning IP manzillari, ikkinchisida ularning jismoniy manzillari.
Jismoniy manzil noyobdir, u marshrutizatorning geografik joylashuvi va boshqalar haqida ma'lumot to'plash uchun ishlatilishi mumkin, shuning uchun u ushbu maqolaning maqsadlari uchun yashirin bo'ladi.
1-maqsad 192.168.xxx.1 manzilli asosiy shlyuzni, 2-maqsad esa boshqa manzillardan birini qo'shadi.
Biz o'zimizni shlyuzga 192.168.xxx.204 manzilli, lekin o'z MAC manzilimiz bilan xost sifatida tanishtiramiz. Keyin biz o'zimizni foydalanuvchi routerga MAC bilan 192.168.xxx.1 manzilli shlyuz sifatida ko'rsatamiz. Ushbu ARP protokoli zaifligi tafsilotlari Google uchun oson bo'lgan boshqa maqolalarda batafsil muhokama qilinadi.
Barcha manipulyatsiyalar natijasida bizda paketlarni yo'naltirishni faollashtirgan holda, biz orqali o'tadigan xostlardan trafik bor:
Ha, https deyarli hamma joyda qo'llaniladi, ammo tarmoq hali ham boshqa himoyalanmagan protokollar bilan to'la. Misol uchun, DNS-spoofing hujumi bilan bir xil DNS. MITM hujumini amalga oshirish mumkinligining o'zi boshqa ko'plab hujumlarni keltirib chiqaradi. Tarmoqda bir necha o'nlab faol xostlar mavjud bo'lganda, vaziyat yomonlashadi. Shuni hisobga olish kerakki, bu xususiy sektor, korporativ tarmoq emas va hamma ham tegishli hujumlarni aniqlash va ularga qarshi kurashish uchun himoya choralariga ega emas.
Qanday qilib undan qochish kerak
Provayder ushbu muammo haqida tashvishlanishi kerak; bir xil Cisco kalitida bunday hujumlardan himoyani o'rnatish juda oddiy.
Dinamik ARP tekshiruvini (DAI) yoqish asosiy shlyuz MAC manzilini soxtalashtirishdan saqlaydi. Eshittirish domenini kichikroq segmentlarga ajratish hech bo'lmaganda ARP trafigining ketma-ket barcha xostlarga tarqalishini oldini oldi va hujumga uchragan xostlar sonini kamaytirdi. Mijoz, o'z navbatida, to'g'ridan-to'g'ri uy routerida VPN-ni o'rnatish orqali o'zini bunday manipulyatsiyalardan himoya qilishi mumkin; aksariyat qurilmalar allaqachon ushbu funktsiyani qo'llab-quvvatlaydi.
topilmalar
Ehtimol, provayderlar bunga ahamiyat bermaydilar, barcha harakatlar mijozlar sonini ko'paytirishga qaratilgan. Ushbu material hujumni namoyish qilish uchun yozilmagan, lekin sizning provayderingiz tarmog'i ham ma'lumotlaringizni uzatish uchun unchalik xavfsiz bo'lmasligi mumkinligini eslatish uchun. Ishonchim komilki, ko'plab kichik mintaqaviy Internet-provayderlar mavjud bo'lib, ular asosiy tarmoq uskunalarini ishga tushirish uchun zarur bo'lganidan boshqa hech narsa qilmaganlar.
Manba: www.habr.com