Hub.
Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
#protezionedelleInformazioni #sicurezzadelleinformazioni
Dopo aver esaminato i fondamenti teorici dei livelli del modello OSI nei post precedenti, passiamo ora a considerare quegli attacchi che possono essere implementati contro dispositivi e applicazioni in esecuzione su ciascuno dei livelli OSI.
Gli attacchi a livello fisico sono noti da molto tempo e, a quanto pare, tutti sanno come affrontarli, ma a volte con l'aiuto di un tale attacco è possibile ottenere informazioni sensibili.
Iniziamo con i dispositivi hub di rete più semplici (hub). Come sapete, l'hub, ricevendo un pacchetto su una delle sue porte, lo inoltra a tutte le altre.
In questo modo, tutte le macchine collegate a questo hub ricevono il pacchetto inviato. L'utilizzo di questi dispositivi riduce notevolmente la larghezza di banda di un segmento di rete e, cosa più importante dal punto di vista della sicurezza delle Informazioni, qualsiasi utente connesso all'hub può facilmente ascoltare tutto il traffico che passa attraverso un determinato segmento.
Per verificarlo in pratica, è sufficiente collegare diverse macchine all'Hub e su una di esse eseguire il disco di avvio e la distribuzione Kali descritta nelle applicazioni o qualsiasi altra distribuzione
Linux che contiene questa utility. Qui e oltre, tutte le utilità fornite negli esempi sono incluse in Kali Linux, a meno che l'altra non sia esplicitamente specificata.
Dopo aver caricato il sistema operativo Kali Linux, è necessario selezionare sequenzialmente: Privilege Escalation-Sniffers-Wireshark.
Successivamente, nella finestra dell'applicazione che si apre, è necessario specificare l'interfaccia da cui verrà intercettato il traffico e premere Start.
Bene, ora la parte divertente. Andiamo da una macchina collegata allo stesso hub di qualsiasi sito che trasmette le credenziali tramite un modulo Web in forma non crittografata e inseriamo login e password (preferibilmente non reali). Inviamo questi dati al server e riceviamo un messaggio di credenziali errate.
Quindi vai alla finestra di Wireshark e guarda il traffico HTTP che è stato trasferito dalla macchina locale al server Web.
Nel mio esempio, ho utilizzato un portale web di un noto social network che alcuni anni fa, durante il trasferimento delle credenziali, non utilizzava la crittografia e trasmetteva login e password in chiaro. Nel mio caso il login era test e la password è p@ssw0rd. Nel log, il simbolo @ è sostituito dal codice esadecimale UTF-8.
Naturalmente, molti siti web utilizzano la crittografia durante la trasmissione delle credenziali, ma con l'aiuto del traffico di intercettazione, un hacker esperto può comunque raccogliere un sacco di informazioni utili. Ad esempio, dai server a cui accede il computer, è possibile provare a identificare il sistema operativo installato nel computer fino alle versioni degli aggiornamenti installati. È anche possibile conoscere le applicazioni installate. Tali attacchi sono chiamati "passive fingerprint". Le informazioni ottenute in questo modo possono essere successivamente utilizzate da un utente malintenzionato per implementare attacchi più sofisticati.
Gli esempi precedenti sono la prova dell'inadeguatezza degli Hub per l'uso su LAN. Ma non affrettarti a buttarli via. Se la tua rete utilizza cluster di failover (la necessità di applicare la tolleranza agli errori è descritta in dettaglio nei post sui rischi), sarai in grado di utilizzare gli hub per connettere internamente i nodi del cluster. Il fatto è che i nodi del cluster devono scambiare costantemente messaggi del tipo «i'm alive» (I'm alive), questi messaggi vengono trasmessi tra loro dai nodi. Poiché l'Hub non compone le tabelle CAM, ma invia direttamente i pacchetti, in caso di guasto di uno dei nodi, il secondo nodo viene a conoscenza più rapidamente del guasto del secondo. Gli switch costituiscono tabelle CAM che hanno una certa durata e, quando uno dei nodi si guasta, il secondo ne viene a conoscenza solo dopo questa durata. Tuttavia, parleremo di più degli switch un po ' più tardi. Per le applicazioni aziendali critiche come la posta elettronica, il database aziendale o il sito web, una semplice durata di pochi secondi è estremamente dannosa, mentre per una carriera come amministratore di sistema è semplicemente pericolosa. Quindi l'uso degli Hub nei sistemi cluster è giustificato. Per evitare queste minacce, è necessario utilizzare gli switch, che saranno discussi nei prossimi post.
Ora incontrare un hub in una rete aziendale non è più così facile. Sono universalmente sostituiti da Switch E questo è il modo migliore per evitare quelle minacce descritte sopra. Nel caso in cui la rete disponga di hub e al momento non sia possibile abbandonarli, è necessario impedire agli utenti di ascoltare il traffico tramite software. Il modo più semplice per farlo è privando gli utenti dei privilegi amministrativi sulle loro workstation. È inoltre necessario vietare il funzionamento della scheda di rete in una modalità che consenta di ricevere tutto il traffico, non solo quello destinato a una determinata macchina.