如今,许多公司都关心确保其基础设施的信息安全,有些是根据监管文件的要求这样做的,有些是从第一次事件发生的那一刻起就这样做的。 最近的趋势表明,事件数量不断增加,攻击本身也变得更加复杂。 但你不需要走多远,危险就近多了。 这次我想提出互联网提供商安全的话题。 Habré 上有一些帖子在应用程序级别讨论了这个主题。 本文将重点关注网络和数据链路级别的安全性。
这一切是如何开始的
不久前,公寓内安装了新提供商的互联网;此前,互联网服务是通过 ADSL 技术提供给公寓的。 由于我在家的时间很少,所以移动互联网的需求比家庭互联网的需求更大。 随着向远程工作的过渡,我认为 50-60 Mb/s 的家庭互联网速度根本不够,因此决定提高速度。 使用ADSL技术,由于技术原因,不可能将速度提高到60 Mb/s以上。 我们决定切换到另一家具有不同声明速度且不通过 ADSL 提供服务的提供商。
可能会有所不同
联系了互联网提供商的代表。 安装人员来了,在公寓里钻了一个洞,并安装了 RJ-45 跳线。 他们给了我一份协议和说明,其中包含需要在路由器上设置的网络设置(专用 IP、网关、子网掩码和 DNS 的 IP 地址),收取了第一个月的工作费用后就离开了。 当我将给我的网络设置输入家庭路由器时,互联网突然进入了公寓。 新订户首次登录网络的程序对我来说似乎太简单了。 未执行主要授权,我的标识符是给我的 IP 地址。 网络速度快且稳定,公寓内有wifi路由器,穿过承重墙,网速略有下降。 有一天,我需要下载一个两打千兆字节的文件。 我想,为什么不将通往公寓的 RJ-45 直接连接到 PC。
了解你的邻居
下载整个文件后,我决定更好地了解开关插座中的邻居。
在公寓楼中,如果我们考虑最原始的连接图,互联网连接通常来自提供商通过光纤,进入配线间的其中一台交换机,并通过以太网电缆分布在入口和公寓之间。 是的,已经有一种光学直接进入公寓的技术(GPON),但这种技术尚未普及。
如果我们在一座房子的规模上采用一个非常简化的拓扑,它看起来像这样:
事实证明,该提供商的客户(一些相邻的公寓)在同一本地网络中的同一交换设备上工作。
通过在直接连接到提供商网络的接口上启用侦听,您可以看到来自网络上所有主机的广播 ARP 流量。
该提供商决定不再费心将网络划分为小段,因此来自 253 个主机的广播流量可以在一台交换机内流动,不包括那些被关闭的主机,从而堵塞通道带宽。
使用nmap扫描网络后,我们确定了整个地址池中的活动主机数量、主交换机的软件版本和开放端口:
ARP 和 ARP 欺骗在哪里?
为了执行进一步的操作,使用了 ettercap-graphical 实用程序;还有更现代的类似工具,但该软件以其原始的图形界面和易用性而吸引人。
第一列是响应 ping 的所有路由器的 IP 地址,第二列是它们的物理地址。
物理地址是唯一的;它可用于收集有关路由器的地理位置等信息,因此出于本文的目的,它将被隐藏。
目标 1 添加地址为 192.168.xxx.1 的主网关,目标 2 添加其他地址之一。
我们将自己介绍给网关,作为主机,地址为 192.168.xxx.204,但具有我们自己的 MAC 地址。 然后,我们将自己作为网关呈现给用户路由器,地址为 192.168.xxx.1 及其 MAC。 这个ARP协议漏洞的细节在其他容易Google的文章中有详细讨论。
所有这些操作的结果是,我们获得了来自经过我们的主机的流量,并且之前启用了数据包转发:
是的,https 几乎已经在所有地方使用,但网络仍然充满其他不安全的协议。 例如,同一 DNS 受到 DNS 欺骗攻击。 可以进行 MITM 攻击这一事实引发了许多其他攻击。 当网络上有几十个可用的活动主机时,情况会变得更糟。 值得考虑的是,这是私营部门,而不是企业网络,并不是每个人都有检测和反击相关攻击的保护措施。
如何避免
提供商应该关心这个问题;在同一台思科交换机的情况下,设置针对此类攻击的保护非常简单。
启用动态 ARP 检查 (DAI) 将防止主网关 MAC 地址被欺骗。 将广播域分成更小的段至少可以防止 ARP 流量连续传播到所有主机,并减少可能受到攻击的主机数量。 反过来,客户端可以通过直接在其家庭路由器上设置 VPN 来保护自己免受此类操纵;大多数设备已经支持此功能。
发现
最有可能的是,提供商并不关心这一点;所有努力都是为了增加客户数量。 编写本材料的目的不是为了演示攻击,而是为了提醒您,即使您的提供商的网络在传输您的数据时也可能不是很安全。 我确信有许多小型区域互联网服务提供商只做了运行基本网络设备所需的工作。
来源: habr.com