Mitm атака в масштабах многоквартирного дома

Многие компании сегодня обеспокоены вопросом обеспечения информационной безопасности своей инфраструктуры, некоторые это делают по требованию регламентирующих документов, а некоторые с того момента как произойдет первый инцидент. Последние тенденции показывают, что количество инцидентов растет, да и сами атаки становятся все более изощрёнными. Но не нужно ходить далеко, опасность находится гораздо ближе. В этот раз хотелось бы поднять тему безопасности интернет-провайдеров. На хабре есть посты в которых обсуждалась данная тема на уровне приложений. В этой статье речь пойдет о безопасности на сетевом и канальном уровнях.

С чего все началось


Некоторое время назад в квартиру был проведен интернет от нового провайдера, ранее услуги интернета поставлялись в квартиру по технологии ADSL. Так как дома провожу мало времени, мобильный интернет был более востребован, чем домашний. С переходом на удаленку решил, что скорости в 50-60 Мб/с для домашнего интернета прям совсем мало и решил увеличить скорость. По технологии ADSL по техническим причинам скорость свыше 60 Мб/с поднять не получится. Было принято решение перейти на другого провайдера с другой заявленной скоростью работы и уже c предоставлением услуг не по ADSL.

Могло быть как-то по-другому


Связался с представителем интернет провайдера. Пришли монтажники, просверлили в квартиру отверстие, провели патч-корд RJ-45. Дали договор и указания с сетевыми настройками, которые нужно выставить на роутере (выделенный ip, шлюз, маску подсети и ip адреса своих DNS), взяли оплату за первый месяц работы и ушли. Когда я ввёл в домашний роутер выданные мне сетевые настройки, интернет ворвался в квартиру. Процедура первичного входа в сеть нового абонента показалась мне слишком простой. Никакой первичной авторизации произведено не было, а моим идентификатором был выданный мне ip адрес. Интернет работал быстро и стабильно.В квартире работал wifi-роутер и через несущую стену скорость соединения немного проседала. В один из дней, нужно было скачать файл размером в два десятка гигабайт. Я и подумал, почему бы не подключить идущий в квартиру RJ-45 напрямую в пк.

Знай ближнего своего


Загрузив весь файл, я решил ближе познакомиться с соседями по гнездам коммутатора.

В многоквартирные дома зачастую интернет-соединение идет от провайдера по оптике, заходит в коммутационный шкаф в один из коммутаторов и распределяется между подъездами, квартирами по Ethernet кабелям, если рассматривать самую примитивную схему подключений. Да, уже есть технология когда оптика идет прямиком до квартиры (GPON), но это пока не так повсеместно распространено.

Если брать очень сильно упрощенную топологию в масштабах одного дома, то выглядит это примерно так:



Выходит так, что клиенты данного провайдера, некоторые соседние квартиры, работают в одной локальной сети на одном коммутационном оборудовании.

Включив прослушивание интерфейса, подключенного напрямую к сети провайдера, можно увидеть летящий от всех хостов в сети широковещательный ARP трафик.



Провайдер решил особо не заморачиваться с разбиением сети на мелкие сегменты, поэтому в пределах одного коммутатора мог гулять широковещательный трафик с 253 хостов, если не считать выключенные, тем самым забивая полосу пропускания каналов.

Просканировав с помощью nmap сеть, определилось количество активных хостов из всего пула адресов, версия ПО и открытые порты главного коммутатора:





А где ARP там рядом и ARP-spoofing


Для осуществление дальнейших действий была использована утилита ettercap-graphical, есть и более современные аналоги, но данный софт привлекает своим примитивным графическим интерфейсом и простотой в использовании.

В первом столбце IP адреса всех откликнувшихся на пинг роутеры, во втором их физические адреса.

Физический адрес является уникальным, по нему можно собрать информацию о географическом местоположении роутера и прочее, поэтому в рамках данной статьи он будет скрыт.



Целью 1 добавляем основной шлюз с адресом 192.168.xxx.1, целью 2 добавляем один из других адресов.

Представляемся шлюзу как хост с адресом 192.168.xxx.204, но со своим MAC адресом. Затем пользовательскому роутеру представляемся как шлюз с адресом 192.168.xxx.1 со своим MAC. Детали данной уязвимости протоколоа ARP подробно разобраны в других статьях которые легко гуглятся.



В итоге всех манипуляций мы имеем трафик с хостов который идет через нас, предварительно включив форвардинг пакетов:











Да, почти везде уже используется https, но в сети еще полно других незащищенных протоколов. К примеру, тот же самый DNS c атакой DNS-spoofing. Сам факт возможности осуществления MITM атаки порождает множество других атак. Все становится ужаснее когда в сети доступно несколько десятков активных хостов. Стоит учесть, что это частный сектор, а не корпоративная сеть и не у всех стоят средства защиты обнаружения и противодействиям сопутствующим атакам.

Как это избежать


Данной проблемой должен быть обеспокоен провайдер, настроить защиту от подобных атак очень просто, в случае того же самого коммутатора Cisco.



Включение Dynamic ARP Inspection (DAI) позволило бы предотвратить подмену MAC адреса главного шлюза. Разбитие широковещательного домена на более мелкие сегменты предотвратило хотя бы распространение ARP трафика на все хосты подряд и уменьшение количества числа возможных для атаки хостов. Клиент в свою очередь может защититься от подобных манипуляций настроив VPN прямо на домашнем роутере, большинство устройств уже поддерживают данный функционал.

Выводы


Скорее всего, провайдерам нет до этого дела, все силы направлены на увеличение числа клиентов. Данный материал написан не с целью демонстрации атаки, а с целью напомнить, что даже сеть вашего провайдера может быть не очень безопасной для передачи ваших данных. Уверен, что найдется много мелких региональных поставщиков интернет-услуг, которые больше, чем необходимо для элементарной работы сетевого оборудования, ничего не сделали.
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 22

    0

    Если абоненты не порезаны по сегментам, то это уже очень большой фейл оператора. Дальше уже не нужно изобретать какие-либо циски или High End решения от длинка. Если абоненты видят друг друга на L2, то сеть живёт до первого дятла.


    Очевидно, виланы тут плохо работают, и надо либо честную l3-fabric делать, либо городить vxlan/qnq (в зависимости от того, что дешевле на оконечном оборудовании).

      +1
      На нормально настроенном оборудовании невозможно подделать ip или arp. Броадкаст флуд может быть зарезан по объёму, а мультикаст разрешён вообще только с сервера провайдера. Всё это есть в большинстве управляемого оборудования, это не Hi-End. Что тут сможет сделать дятел? Просто почему то админ данной сети допустил халатность, хотя абонентов подключают к умным коммутаторам именно из за слишком широких возможностей в L2.
      Вроде бы переход на QinQ создаёт проблемы с мультикастом и придётся полностью отказаться от IPTV и перейти на интерактивное TV, а сеть то построена из расчёта по 1 мегабиту на нос, придётся расширять, клиентам приставки покупать. Зачем им это?
        +2

        Ну, проблемы iptv на мультикасте обычно сводятся к тому, что мультикаст — это всегда проблемы.


        Я знаю только одну вещь точно: как только в проекте появляется слово "мультикаст", в нём будет паролимпиада по его отладке. Обязательно.

      +2
      Физический адрес является уникальным, по нему можно собрать информацию о географическом местоположении роутера
      ШТА?
          0
          а mac wifi интерфейса совпадает с маком ethernet? (честно я уже давно не брал в руки шашку)

          … а то мне видятся большие потенциальные проблемы при их совпадении
            –3
            Да, верно, это совершенно два разных сетевых интерфейса и они должны иметь разные MAC адреса, но на каких то старых роутерах наблюдал картину с двумя одинаковыми адресами. Кажется, это теоретически невозможно, но такое довелось увидеть. По функциональности не скажу, тк не проверял передачу трафика. Не уверен что такие не стоят на подключённых хостах в пределах коммутора оператора, поэтому скрыл)
              –1
              Доводилось видеть телефоны с одинаковыми MAC-ами от одного китайского производителя.
              0

              Зависит от того, в каком режиме работает wifi. Если это роутер, то mac'и в одном сегменте не должны волновать другой сегмент. Если AP, то у неё не должно быть своего mac'а. (или должен? Ок, в wireless части я плаваю).

                0
                Должен, если она является отдельным хостом в сети, также многие точки делают MAT, потому все хосты за ними выглядят как сидящие на MAC этой точки алиасы.
                0

                Часто могут отличаться на единичку в младшем разряде, зависит от политики присвоения МАС-адресов вендором

                  0
                  тут вопрос не то как они различаются, а в принципиальной возможности совпадения адресов интерфейсов.
                  потому что если точка будет подключена обоими интерфейсами к одному маршрутизатору (например через wifi и через ethernet одновременно), исключим сразу вариант «такнельзя» — допустим на них разные vlan-ы или просто подсети, то маршрутизатор может и не понять что происходит. по этому я считаю что не может быть одинаковых адресов у wifi и ethernet порта одного роутера, во всяком случае с дефолтной прошивкой и настройками (потому что существует опция clone mac)
            +5
            Кажется статья устарела лет так на 5 минимум. Или свич у вашего провайдера. Port security/Port Isolate прекрасно решают все эти проблемы.
            Опять эти непонятные закрашивания внутренних адресов 192.168.

            версия ПО и открытые порты главного коммутатора:

            может-таки маршрутизатора? и почему главного.

            В сторону клиентов открыт 22 порт на этом маршрутизаторе. У вас там что, деревенский провайдер местного админа Васи? Познакомьтесь с ним, выпейте «кефира», и настройте уже нормально.

            Детали данной уязвимости протоколоа ARP подробно разобраны в других статьях которые легко гуглятся

            ну добавьте хотя бы под спойлер, те кто знают про это смотрят на статью с улыбкой, а те кто не знает… или вы их хотите еще и гуглить научить?
            Верните на скриншоты адреса 192.168. проведите исследование этого 22 порта, и курсовую работу можно засчитывать)
              0
              Да Port Isolate действительно мог бы помочь, но Port Security тут не помогает никаким боком. Он предотвращает подмену оконечных устройств, но вы наверное согласитесь, что глупо прописывать каждый пользовательский роутер. При покупке нового нужно идти к провайдеру и просить перенастроить access порты. Исследование 22 порта не относится к теме данной статьи, скрытая часть адреса 192.168 не искажает смысл. Такая «плохая» настройка оказалась не единичным случаем.
                0
                1) Зачем идти, когда можно позвонить.
                2) Port Security разрешает только один мак на порту, можно настроить период обновления, в итоге можно менять роутеры и компы раз в 10 минут.
                У разных провайдеров применяется как первый вариант, так и второй.
                У нормальных провайдеров полноценно работала локалка с юзерскими ресурсами, и без arp-атак.
                Потом уже начали блочить все порты ниже 1000 во избежании, но к тому моменту появился ru.wikipedia.org/wiki/%D0%A0%D0%B5%D1%82%D1%80%D0%B5%D0%BA%D0%B5%D1%80
              0
              Да, почти везде уже используется https, но в сети еще полно других незащищенных протоколов. К примеру, тот же самый DNS c атакой DNS-spoofing. Сам факт возможности осуществления MITM атаки порождает множество других атак. Все становится ужаснее когда в сети доступно несколько десятков активных хостов.


              … но расписывать вы этого конечно же не будете. Потому что в реальности, абсолютное большинство всего закрыто TLS и мамкины скрипткидди имеют радость наблюдать как максимум какие-то картинки из миксед-контента криво настроенных вебсерваков, ну или можно еще «похитить» учетку ресурсов, в 2020 не использующих TLS по каким-то лично им известным причинам (кривость культей, вместо которых должны быть руки например, джойрекатор, привет)
                0

                У меня включен HTTPS Everywhere в блокирующем режиме и в поисках различных ответов на мои вопросы в посковиках я частенько натыкаюсь на сайты у которых HTTPS не работает вообще либо приняв не валидный сертификат я вижу ошибку 404.

                  0
                  Потому у меня и написано про миксед контент

                  Как правило весь миксед это убогенькие картинке в формате тамбнейла и что-то такое же неинтересное

                  Я не знаю с чем сравнить. Это все равно что в помойке ковырять, в надежде найти документ с какой-то важной информацией. Покопаться в мусоре какого-то «важного»-богатого человека можно, копаться в мусоре соседа-феди смысла нет никакого, потому что в лучшем случае ты там найдешь чеки из пятерочки.

                  Соотношение трудозатраты/результат в случае соседа-феди делает копание в мусоре бессмысленной тратой времени.
                0
                Если соседи видят друг друга на L2, то это не оператор, а типичный мухосранск-телеком. даже в пределах одного VLAN можно изолировать трафик (если лень/нет возможности сделать VPU — vlan per user)
                  0
                  То есть, вы считаете нормальным, что если вдруг я захочу соседу отправить 40гб видео, я должен это сделать через интернет?
                    0
                    Не через Интернет в глобальном смысле, а через BRAS или что у ISP являет точкой терминирования, т.е. это будет в пределах AS оператора. Поскольку такого трафика очень мало (межабонетского внутри ISP), то смысла разрешать прямое L2-взаимодействие абонентов нет, проще прогнать подобный трафик через первую L3-железку, при этом победить большинство L2-атак таким простым и изящным способом (L2-изоляция)
                      0
                      В чем проблема, сделайте с соседом свою локалку со всем что полагается, и передавайте что угодно. Если вам нужно отправить 40 гиг- я думаю до локалки вы договориться сможете(если уже этого не сделали).

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое