如今,許多公司都關心確保其基礎設施的資訊安全,有些是根據監管文件的要求這樣做的,有些是從第一次事件發生的那一刻起就這樣做的。 最近的趨勢表明,事件數量不斷增加,攻擊本身也變得更加複雜。 但你不需要走多遠,危險就近多了。 這次我想提出網路供應商安全的話題。 Habré 上有一些貼文在應用程式層級討論了這個主題。 本文將重點放在網路和資料鏈路層級的安全性。
這一切是如何開始的
不久前,公寓內安裝了新供應商的網路;此前,網路服務是透過 ADSL 技術提供給公寓的。 由於我在家的時間很少,所以行動網路的需求比家庭網路的需求更大。 隨著向遠距工作的過渡,我認為 50-60 Mb/s 的家庭網路速度根本不夠,因此決定提高速度。 使用ADSL技術,由於技術原因,無法將速度提高到60 Mb/s以上。 我們決定切換到另一家具有不同聲明速度且不透過 ADSL 提供服務的供應商。
可能會有所不同
聯繫了網路供應商的代表。 安裝人員來了,在公寓裡鑽了一個洞,並安裝了 RJ-45 跳線。 他們給了我一份協議和說明,其中包含需要在路由器上設定的網路設定(專用IP、網關、子網路遮罩和DNS 的IP 位址),收取了第一個月的工作費用後就離開了。 當我將給我的網路設定輸入家庭路由器時,網路突然進入了公寓。 新訂戶首次登入網路的程序對我來說似乎太簡單了。 未執行主要授權,我的識別碼是給我的 IP 位址。 網路速度快且穩定,公寓內有wifi路由器,穿過承重牆,網路速度略有下降。 有一天,我需要下載一個兩打千兆位元組的檔案。 我想,為什麼不將通往公寓的 RJ-45 直接連接到 PC。
了解你的鄰居
下載整個檔案後,我決定更了解開關插座中的鄰居。
在公寓大樓中,如果我們考慮最原始的連接圖,網路連接通常來自供應商通過光纖,進入配線間的其中一台交換機,並透過乙太網路電纜分佈在入口和公寓之間。 是的,已經有一種光學直接進入公寓的技術(GPON),但這種技術尚未普及。
如果我們在一棟房子的規模上採用一個非常簡化的拓撲,它看起來像這樣:
事實證明,該提供者的客戶(一些相鄰的公寓)在同一本地網路中的同一交換設備上工作。
透過在直接連接到提供者網路的介面上啟用偵聽,您可以看到來自網路上所有主機的廣播 ARP 流量。
該供應商決定不再費心將網路劃分為小段,因此來自 253 個主機的廣播流量可以在一台交換機內流動,不包括那些被關閉的主機,從而堵塞通道頻寬。
使用nmap掃描網路後,我們確定了整個位址池中的活動主機數量、主交換器的軟體版本和開放埠:
ARP 和 ARP 欺騙在哪裡
為了執行進一步的操作,使用了 ettercap-graphical 實用程式;還有更現代的類似工具,但該軟體以其原始的圖形介面和易用性而吸引人。
第一列是回應 ping 的所有路由器的 IP 位址,第二列是它們的實體位址。
實體位址是唯一的;它可用於收集有關路由器的地理位置等信息,因此出於本文的目的,它將被隱藏。
目標 1 新增位址為 192.168.xxx.1 的主網關,目標 2 新增其他位址之一。
我們將自己介紹給網關,作為主機,位址為 192.168.xxx.204,但具有我們自己的 MAC 位址。 然後,我們將自己作為網關呈現給使用者路由器,位址為 192.168.xxx.1 及其 MAC。 這個ARP協議漏洞的細節在其他容易Google的文章中有詳細討論。
所有這些操作的結果是,我們獲得了來自經過我們的主機的流量,並且之前啟用了封包轉送:
是的,https 幾乎已經在所有地方使用,但網路仍然充滿其他不安全的協議。 例如,同一 DNS 受到 DNS 欺騙攻擊。 可以進行 MITM 攻擊這一事實引發了許多其他攻擊。 當網路上有幾十個可用的活動主機時,情況會變得更糟。 值得考慮的是,這是私營部門,而不是企業網絡,並不是每個人都有偵測和反擊相關攻擊的保護措施。
如何避免
提供者應該關心這個問題;在同一台思科交換器的情況下,設定針對此類攻擊的保護非常簡單。
啟用動態 ARP 檢查 (DAI) 將防止主網關 MAC 位址被欺騙。 將廣播域分成更小的區段至少可以防止 ARP 流量連續傳播到所有主機,並減少可能受到攻擊的主機數量。 反過來,客戶端可以透過直接在其家庭路由器上設定 VPN 來保護自己免受此類操縱;大多數設備已經支援此功能。
發現
最有可能的是,提供者並不關心這一點;所有努力都是為了增加客戶數量。 編寫本資料的目的不是為了演示攻擊,而是為了提醒您,即使您的提供者的網路在傳輸您的資料時也可能不是很安全。 我確信有許多小型區域互聯網服務供應商只做了運行基本網路設備所需的工作。
來源: www.habr.com