Взлом и защита в локальных сетях

Xakep, номер #046, стр. 046-048-1

derevo (derevo@hotbox.ru)

DialUp и выделенные линии - два способа для выхода в глобальную сеть. С диалапом в плане безопасности все довольно четко и ясно. Там почти нечего ловить: случаев, когда взламывали модемы провайдеров, я просто не слышал. А вот с выделенкой уже все иначе, здесь есть где развернуться со своим немалым интеллектом :). Об этом и пойдет разговор в данной статье: ошибки в локальных сетях.

Вопрос о безопасности

Я хочу рассмотреть, какие ошибки чаще всего присутствуют в сетях типа Ethernet, рассказать о проблемах провайдеров, строящих свои сети на технологии коаксиала и кабельных модемов (например, модный нынче в Москве КОМКОР-ТВ). Также немного поведать о стандартных ошибках, присущих всем локальным сетям, которые предоставляют, помимо локалки, также и Интернет, а таких сейчас почти 100 процентов. И в завершение поговорить о приземленных вещах вроде войн в сети с пользователями. Ну что ж, поехали! :)

Ethernet сети

Большинство сетей построено на Ethernet технологии и множество из них страдают одной проблемой: воровство трафика. Ведь как построены такие сетки? Все пользователи присоединяются от сетевухи к хабу/свитчу, а сами хабы и свитчи соединяются между собой. Также внутри сети имеются разнообразные сервера: DHCP, почтовые сервера, ftp и прочее. Но сеть скучна, если в ней отсутствует Интернет. Поэтому ставится роутер, который маршрутизирует необходимые пакеты в Инет. Вот тут и кроется проблема. Ведь пользователи уже неглупые: знают, что компьютеры в сети идентифицируются по MAC адресам, а их, как известно, можно менять. Поэтому ставятся разнообразные вариации линукса, а далее стандартные команды вроде "ifconfig ethX hw ether MAC". И количество лиц, пользующихся данными командами, неуклонно лезет вверх. Но все это довольно легко ловится, да и админы умнеют: теперь во многих сетях, перед тем как начать ползать в Интернете, необходимо обязательно проидентифицироваться на определенном сервере специализированным софтом. Если этого не делать, то попросту отрубят от сети (пример такой сетки: south.net.ru). Также в сетях стало популярным использование VPN, что тоже ограждает от данных проблем.

Интернет через кабельный модем

Вроде сети на основе коаксиала начинали загибаться, ан нет. Появляются компании, предоставляющие услуги телевиденья и доступ в Интернет через один провод - коаксиал. Как работает такая система? Просто на определенной частоте идет телевидение, а на другой - Интернет. Когда к модему подсоединяется коаксиальный провод, то он (модем) сразу начинает коннектиться на CMTS сервер (Cable Modem Termination System). По SNMP протоколу он получает начальные настройки, в том числе: адрес DHCP, TFTP сервера. C TFTP сервера кабельный модем уже получает файл с настройками в DOCSIS формате. А в него входят: ограничения входящего и исходящего канала! Т.е. получается, если у пользователя было в тарифном плане указано, что его входной канал 192 kbit/s, а обратный 64 kbit/s, то эти настройки передаются в ОДНОМ файле по TFTP протоколу!! Но ведь ничего не мешает пользователю подменить адрес TFTP сервера на свой локальный. Благо, есть софт и для создания TFTP сервера, и для генерации DOCSIS конфига, необходимого для кабельного модема. Пользователю только то и остается, как накачать софта, сгенерировать свой конфиг с желаемыми настройками. И вот уже не слабые 192/64 kbit/s, а все 512/512 kbit/s.

Содержание  Вперед на стр. 046-048-2