Раньше безопасность сети сводили к IP-адресам, паролям и правилам на межсетевом экране. Теперь все чаще выясняется, что атакующий может войти вообще без адреса — через кабель, розетку или незаметную врезку в линию.
Что это за явление
Речь идет о физических атаках на сеть: злоумышленник не ломает сервис снаружи, а получает доступ к каналу передачи данных или ставит промежуточное устройство в разрыв линии. Для корпоративной инфраструктуры это особенно неприятно, потому что внешние фильтры тут почти не помогают.
Такой подход любят называть атаками на физическом уровне. Он опасен не только для офисов с десятками шкафов и коммутаторов, но и для обычных организаций, где незакрытая розетка в переговорной может стать точкой входа в инфраструктуру.
Как это работает технически
На практике атакующий может подключить пассивный ответвитель, который просто копирует трафик, не выдавая себя в сети. У такого устройства нет IP-адреса, оно не шлет запросы и не светится в логах мониторинга.
Есть и более жесткий вариант — промежуточное устройство, которое встраивается между двумя узлами и уже может читать, задерживать или менять трафик. Это уже похоже на Man-in-the-Middle (MITM, «человек посередине»), только не через подмену адресов, а через физический доступ к линии связи.
Именно поэтому привычные инструменты вроде IDS видят не все. Если система получает лишь копию трафика через зеркалирование порта, она замечает аномалии в пакетах, но не сам факт, что кто-то незаметно сидит на линии.
Подобные цепочки хорошо дополняют атаки на поставки и аппаратные закладки: о них мы уже писали в разборе как уязвимость в PHP и AD CS приводит к захвату домена и в материале о скрытом доступе к корпоративным сетям. Там сценарий шел через софт и учетные записи, здесь — через железо и провод.
Почему это опасно
Главная проблема в том, что физическая атака обходит привычный периметр. Фаерволы, фильтры и часть средств анализа просто не видят устройство, если оно не участвует в обычном сетевом обмене.
Опасность усиливается тем, что внутри многих сетей до сих пор гуляют открытые служебные протоколы, незашифрованные сессии и старые устройства. В таких условиях атакующий может собрать учетные данные, перехватить служебные сообщения или подменить содержимое трафика.
Для бизнеса это означает не только риск утечки. Иногда хватает одной незаметной врезки, чтобы получить доступ к внутренним ресурсам, подменить загрузку или встроиться в цепочку доверия между двумя устройствами.
Как понять, что это касается вас
Чаще всего признаки лежат не в мониторинге, а в быту. Если в офисе есть свободные сетевые розетки, к которым никто не ведет учет, если стойки и переговорные не закрыты, если подрядчики могут подключаться без контроля, риск резко растет.
Повод насторожиться дают и странные сбои на линии: падение скорости, нестабильные соединения, неожиданные пересогласования порта, периодические разрывы. Сами по себе они не доказывают атаку, но требуют проверки.
Если же у вас нет инвентаризации кабелей, портов и коммутаторов, значит, вы не видите часть поверхности атаки. Это уже повод пересмотреть не только настройки, но и физический доступ к сети.
Как защититься
Начинать стоит с банальных, но рабочих мер. Закрывайте неиспользуемые розетки, ведите учет портов и проверяйте, кто и когда подключается к сетевой инфраструктуре.
Дальше — шифрование. Чем меньше в сети открытых протоколов и незашифрованных служебных данных, тем меньше пользы от перехвата на кабеле. Для командировок и работы из общественных точек доступа уместно использовать средство для защищенной работы в поездках как опциональный слой защиты, если вы не хотите оставлять следы в чужой сети.
Полезно смотреть и шире: сегментация, учет оборудования, регулярный аудит портов, контроль подрядчиков, отдельные правила для переговорных и гостевых зон. В реальной жизни именно там чаще всего и появляются слабые места.
Чек-лист: что сделать прямо сейчас
- Проверить, какие сетевые розетки в офисе и переговорных реально используются.
- Закрыть или промаркировать неучтенные порты на коммутаторах и в помещениях.
- Убедиться, что внутри сети не осталось незашифрованных служебных протоколов там, где их можно заменить.
- Ограничить физический доступ к стойкам, шкафам и патч-панелям.
- Проверить, кто имеет право подключать стороннее оборудование к сети.
- Внедрить инвентаризацию кабелей, портов и активных устройств.
- Оценить, где в инфраструктуре уместны дополнительные меры для публичных сетей и поездок.
Если вам интересно, как атакующий цепляется не за адрес, а за железо, посмотрите и наш разбор уязвимостей в браузере Chrome — там другая точка входа, но логика у злоумышленников похожа: найти слабое место до того, как его увидит защита.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.