завантаження...

Адреса:

місто Львів, 79020, вул. Варшавська, 193

Здавалося б, тема «дармового інтернету» вже давно не актуальна. Проте, повірте, навіть сьогодні є унікуми, що вмудряються не платити за підключення до мережі через особливості домашніх мереж.

У цій статті ми спробуємо пояснити, як влаштована абонентська мережа провайдера і які «слабкі місця»  дозволяють розповсюджуватися не лише «дармовикам», але й серйознішим шкідникам.

WARNING

Раніше досить довго функціонувало поняття «крученої пари». Це був один з найпоширеніших способів підключення абонентів до провайдера.

Якщо ти не оплатив зовнішню IP, після підключення провайдер видасть твоєму пристрою «сіру» IP-адресу по DHCP з мережі класу А (10. *. *. * / 24), а також пропише в налаштуваннях підключення свої DNS-сервери . Що це дає?

Це дозволяє взаємодіяти з ресурсами провайдера (DNS / VPN-сервер, особистий кабінет), а також з іншими абонентами локальної мережі провайдера з використанням певних адрес.

А що далі?

Щоб з’явився інтернет, необхідно налаштувати підключення до VPN по L2TP, використовуючи видані провайдером облікові дані.

Якщо коштів на твоєму рахунку недостатньо для списання абонентської плати, підключення L2TP працює тільки в режимі перенаправлення всіх HTTP-запитів на особистий кабінет. Інші запити блокуються і ти залишаєшся без інтернету. АЛЕ все одно будеш підключений до локальної мережі до тих пір, поки тебе фізично не відключать.

У реальному житті цей процес може затягнутися, бо вагома причина фізичного відключення фактично одна: коли необхідно підключити нового абонента, але зайняті всі порти на кінцевому обладнанні провайдера. У такому випадку монтажники провайдера проводять ревізію і відключають того, хто не користується їхніми послугами і не платить. Але якщо потреби у підключенні нового абонента немає, то цього не відбувається.

Про абонентів

Коли є підключення до локальної мережі і відсутні обмеження на мережеву взаємодію між абонентами, відкриваються чималі можливості. Можна, наприклад, «розшарити» інтернет від іншого абонента і не платити за доступ.

Як провернути подібний фокус?

Активний абонент, який сумлінно платить за інтернет, і буде тим, хто роздає його . Наприклад, якщо у «дармовика» і його друга, знайомого або колеги один і той же провайдер – це ідеальний варіант. В іншому ж випадку – жертвою може стати випадкова людина. До того ж абоненти фізично можуть перебувати в різних частинах міста.

З устаткування необхідний роутер / сервер, який буде виступати в ролі L2TP-клієнта для провайдера і в ролі VPN або проксі-сервера для пасивного абонента. Підійде будь-який досить потужний роутер, на який можна встановити OpenWRT.

Пасивний абонент не платить, але все ж підключений до локальної мережі провайдера. Пасивному абонентові не потрібно такого ж потужного роутера, достатньо і звичайного найдешевшого, якщо він підтримує потрібні для підключення технології (L2TP, IPSec, OpenVPN).

Ще однією проблемою для провайдера є некеровані комутатори, які виступають кінцевим обладнанням. Підключитися до абонентської локальної мережі може хто завгодно, якщо цей хтось має доступ до мережного обладнання. Це спричинено відсутністю можливості відключати порти автоматично.

Реакція провайдера

Провайдер може заборонити або обмежити мережеву взаємодію між абонентами з різних підмереж. Тоді вразливість залишиться тільки в абонентів одного широкомовного домену.

DHCP-сервер провайдера в локальній мережі повинен кожен раз призначати рандомну IP-адресу абонентам при перевищенні короткого lease time. Тим самим пасивний абонент буде змушений змінити в своїх налаштуваннях IP-адресу підключення сервера при кожному завершенні lease time у активного абонента або використовувати доменне ім’я.

Потрібно розділити DNS-сервери провайдера за способом обробки внутрішніх і зовнішніх запитів. Заборонити сторонні DNS і не перетворювати лише внутрішні домени за білим списком (VPN-сервер і особистий кабінет). Це знизить ймовірність підключення пасивного абонента за доменним іменем. А вже всередині L2TP-з’єднання призначати DNS-сервер, який не перетворює зовнішні запити.

Такий спосіб заодно захищає від атак типу DNS Tunneling.

Що буде відбуватися з мережевим пристроєм, який підключений до локальної мережі провайдера, але не підключений до інтернету?

Щоб дізнатися це, можна підключити  патч-корд провайдера в окремий світч, а до нього приєднати домашній роутер і Orange Pi. На Orange Pi потрібно розгорнути PSAD.

Отже, виходить, що ланцюжок місконфігів у провайдера дозволяє безкоштовно використовувати його мережу в своїх інтересах. Вважати таку мережу безпечною аж ніяк не можна. На жаль…

освітлене місто вночі аерофотознімок