Как давно интернет провайдеры похоронили PAP? 5, 10, 15 лет назад?

Однако Password Authentication Protocol живее всех живых. Описания и схему выполнения подключения можно найти здесь. Если заглянуть в только вышедшую Windows 10 и попробовать создать там PPPoE подключение, по умолчанию увидим мы там следующую картину:
PPPoE
image

Аналогичная ситуация и с PPTP:
PPTP
image

А ведь выбор протокола аутентификации зависит не от клиента, вам лишь предлагают, соглашаться или нет — решать вам.

Редко в каких инструкциях от провайдера кроме всего прочего идет графа «Безопасность», это если касаться Windows подключений, про всеми любимые Wi-Fi роутеры можно и вовсе забыть.

А между тем на дворе 2015 год. В магазинах продаются девайсы, ценник которых, не превышая 30$, позволяет даже непосвященному стать небольшим городским провайдером.

Шла суббота


Тихий субботний вечер, на экране любимый сериал. Закончилась одна серия и я сидел с предвкушением ожидая последующей, после 5 минут изучения темного экрана своего телевизора я сообразил что — «Кина небудет, интернет закончился».

Rb750 сообщил что PPTP соединение disconnected. Посмотрев количество mac-адресов (47 против обычных 200+) в бридже на котором висит wan интерфейс справедливо сделал вердикт что на трассе до меня у провайдера проблемы с L1, а значит скорой помощи можно не ждать.

У моего городского провайдера весьма интересный способ раздачи логинов: транслит от улицадом-квартира, так например абонент проживающий на улице 40 лет Октября 14 кв 17 получил бы логин 40let14-17. Возникло желание узнать кто страдает вместе со мной?
Поднимаем PPTP сервер на rb750, вешаем на wan IP-адрес шлюза провайдера. Включаем debug,pptp и соседи с надеждой начинают подключатся к нам.

Ох, да сколько же вас! Сначала дружными рядами отстучались разномастные Wi-Fi (TP-LINK, D-Link, Asus и ко) чуть позже в логах я увидел и host-name=HOME-PC.

Однако никому из них подключиться не удалось, что естественно ведь в secrets их имен быть не могло, а уж тем более и паролей.
А что если убрать в настройках PPTP сервера аутентификацию с использованием chap/mschap/mschap2 и оставить только PAP?

Результаты шокировали:
  • из 47 хостов авторизации запросили 43.
  • из 43 предложений авторизоватся по PAP отказом ответили — 2.
  • 41 хост или 87,2% добровольно отдали мне свой логин-пароль.

Раньше было лучше?


Мы живем в мире услуг и сервиса. Нам уже давно мало самого факта подключения к всемирной паутине, мы ходим делать это из ванны, оплачивать на кухне, хотим чтобы нам приходила СМС о низком балансе на нашем счету, хотим добровольной блокировки когда едем на море.

Конкуренция вынуждает провайдеров накручивать плюшки в личном кабинете. Мой не исключение.

Получив уже известные результаты я 2й раз за 6 лет с момента заключения договора с моим провайдером зашел в личный кабинет. Желания вредить соседям нет, обогащаться за их счет также, поэтому я использовал личные логин/пароль чтобы узнать что мой провайдер может мне предложить:
  • лицевой счет;
  • паспортные данные;
  • номер моб. телефона;
  • баланс;
  • кредит;
  • блокировка;
  • перевод;
  • отчет по трафику;
  • изменение тарифного плана.

По моему этих аргументов для 87% должно быть вполне достаточно чтобы заняться своим подключением и хотя бы выключить PAP?

Комментарии (21)


  1. INSTE
    10.08.2015 12:00

    Ростелеком в Мордовии (про другие регионы не могу сказать) для PPPoE предлагает только PAP, и похоже так будет продолжаться еще неизвестно сколько времени. Правда они что-то там мутили с qinq, привязкой mac адресов и логина/пароля от интернета к порту на свиче доступа, а также учетные данные доступа в личный кабинет отличаются от таковых для доступа в интернет, так что атаку из поста реализовать будет не так просто.


    1. reve1
      10.08.2015 13:08
      +1

      Вы рассматриваете проблему со стороны провайдера, а я бы расценивал ее больше со стороны клиента.

      1. mac переписать не проблема, видимо речь идет о Port security и его обойти тоже не проблема;
      2. QinQ далеко не панацея, тем самым они лишь сузили сектор атаки;
      3. учетные данные в ЛК, я надеюсь что мой провайдер скорее исключение.

      Проблема заключается в самом использовании устаревшего протокола пользователем. На вашем примере мой мозг рождает следующее — MITM-атака за 2 минуты с целью ну скажем промышленного шпионажа.
      1. разрываем L2;
      2. устанавливаем оборудование;
      3. востанавливаем L2;
      4. поднимаем PPPoE узнаем login/password;
      5. авторизуем пользователя у себя и выкидываем на улицу.

      В итоге получаем полный контроль внешнего трафика, сама жертва за 2 минуты даже трубку не поднимет позвонить провайдеру с целью уточнения причин разрыва. Поскольку маршрутизатору безразлично куда он подключился схема может без лишнего внимания проработать очень долго. При этом я не утверждаю что тоже самое невозможно скажем с CHAP, но с PAP работа упрощается стократно.


      1. VBKesha
        10.08.2015 13:26

        Я не знаю внутреннего устройства этих протоколов авторизации, но разве нельзя пропатчить сервер чтобы он просто авторизовывал всех независимо от логина/пароля? Тогда для данной атаки вообще не будет разница что там пользователь выбрал в качестве авторизации.
        Поверхностно глянул нужен MS-CHAPv2 с двух стронней проверкой подлинности.


        1. reve1
          10.08.2015 13:40

          Нет, фактически при самом становлении PPPoE или PPTP соединения идет процесс аутентификации.
          Скажем для PPPoE описанный еще в 1994г в RFC 1661 (3.2 по диаграмме все будет ясно). Самый слабым при этом — PAP.


        1. il--ya
          11.08.2015 15:13

          Авторизовывать можно, но пароль вы так просто не узнаете, поскольку он шифруется. Известны методы взлома, chap и ms-chapv2, но они требуют некоторых усилий.


      1. INSTE
        11.08.2015 23:06

        MITM разумеется никто не отменял, каждый раз проходя в подъезде мимо своего кабеля ethernet, висящего голым до распаечной коробки становится как-то стремновато :)


      1. INSTE
        11.08.2015 23:50

        Кстати я даже не знаю что страшнее в случае с MITM — потерять учетные данные доступа к инету, или же сам интернет-трафик. Потому что даже в случае SuperCHAPv100500 клиент будет авторизован, и весь его трафик можно спокойно слушать в пассивном режиме — достаточно взять 2 сетевухи, поставить linux, добавить их обе в bridge (его надо поднять, но без адреса и запретить ARP) — и никто не заметит этот пассивный сниффер.


  1. CMHungry
    10.08.2015 15:16

    «вешаем на wan IP-адрес шлюза провайдера» — вот тут на свитчах должны были ACL сработать у хорошего провайдера.


    1. reve1
      10.08.2015 15:26

      Не встречал провайдеров с L3 коммутаторами доступа!
      Стандартные решения L2+ не позволят войти на сам коммутатор, но явно ACL помешать присвоить чужой IP им не под силу.

      Конечно у провайдера есть механизмы по борьбе с этой болячкой. IP Source Guard + DHCP snooping +… + но на практике все не так просто.


      1. xBrowser
        10.08.2015 16:35

        Скорее всего CMHungry имел ввиду сброс пакетов на установку соединения, которые могут исходить только от сервера на юзерских портах. Легко реализуется по паттернам, например, на самом используемым в былые времена, да и сейчас не утратившем актуальности Dlink DES-3526 (L2). Аналогично в дроп можно отправлять все пакеты, которые исходят не от выданного абоненту IP-адреса.


        1. reve1
          10.08.2015 16:50

          Ну скажем при PPPoE нам менять IP адрес и вовсе не нужно, нас найдет дисковери.
          Я согласен с вами, да и писал это ранее, у провайдера есть инструменты для минимизации вероятных атак, это проблема клиента.
          Но суть не в том. Сам факт использования PAP это дырка величиной в 20 лет.


          1. CMHungry
            10.08.2015 17:03

            pppoe-ответка режется с юзерских портов. Если уж очень надо рррое. Хотя у большинства уже давно ipoe.


      1. CMHungry
        10.08.2015 17:01

        всё проще, чем многие себе думают =) а вообще PCF есть во многих длинках, 3528-3028-3200. Да и просто повесить привязку ип-порт умеют почти все модели коммутаторов доступа. Ну или строить дерево private vlan


      1. Shvedov
        12.08.2015 05:01

        В названии 2+ уже много скрыто… Те же длинки, 3526, 3200 умеют достаточно.
        Режем PPPoE Offer'ы, DHCP сервера, ARP ответы и так далее…
        Провайдеру стоило побеспокоиться об абонентах и соблюдении 152 ФЗ.


  1. RicoX
    10.08.2015 22:58
    +1

    Расскажу немного со стороны провайдера почему так. Отключить одномоментно PAP на всех брасах, если мы говорим о PPPoE — дело пары команд и можно оставить только шифрованные подключения, но представим сеть средних размеров тысяч 40 абонентов, она такой появилась не сразу, а развивалась скажем лет 10, так вот если отключить PAP то отвалится и не сможет подключиться процентов 15-20 от всей сети (древние роутеры которые по дефолту лезут только по PAP и их надо перенастраивать) или более 5000 абонентов, втечение ближайших дней все эти заявки упадут на службу технической поддержки, вот кому оно нужно? Итого почти все провайдеры поддерживают одновременно кучу вариантов и PAP и CHAP и MS-CHAP(1/2) и даже экзотику типа EAP-TLS (и такое встречал) или там MD5, чаще всего абоненты, которые что-то понимают и кому не пофигу просто ставят себе нужный протокол в настройках подключения и спят спокойно, но заставить проделать то-же самое тысячи домохозяек провайдеру не выгодно как с репутационной стороны, так и в плане издержек. Хотя многие провайдеры уже переходят ударными темпами на IPoE в том или ином виде и там проблемы PAP уже нет.


    1. Shvedov
      12.08.2015 05:12

      Оставили только chap уже давно. Никаких проблем не вызывает, техподдержка не теребит инженеров.


      1. RicoX
        12.08.2015 08:30

        Вопрос объемов сети, мы для теста выключали 1 BRAS на одном районе около 3000 пользователей онлайн, зафиксировали более 300 заявок в первые сутки и вернули обратно как было. Технически оставить только chap не сложно, но вот операционные расходы не окупятся.


  1. stychos
    11.08.2015 00:12
    +2

    В нашей маленькой, но гордой и независимой стране, единственный провайдер-монополист также использует только PAP, и плевать они хотели на всякие там стандарты безопасности.


  1. Ivan_83
    12.08.2015 04:05
    -1

    1. Хренёй страдаете: любой медвежатник откроет вашу квартиру ещё быстрее, чем вы свой тик настроили. Какие из этого можно сделать выводы? Почему вы не в панике? Думаете это шутка? Думаете ваш трафик ценнее содержимого хаты?)

    2. Провайдер не сберёг персональные данные (это я про пасспорт).
    На пароль пофиг, на баланс, тариф и тп — это всё ерунда, которая и за даром мало кому нужна. Будут жалобы — откатят.

    У меня примерно такая же фигня была когда я сидел на ТТК в Иркутске: когда сеть ложилась или свич превращался в хаб то я видел ещё и трафик соседей, без всякого MitM.
    И можно было так же поднять PPPoE сервер и пособирать логины/пароли, только что с них толку?
    Ну получу я данные на 10-50 человек, пусть даже со всеми их акками в социалках и учётками и мылами и прочим, чё дальше то с ними делать?
    Продать? — за такое колличество и 100 рублей не дадут.

    Кроме того, уже много где TLS, так что утащить просто снифая не получится.

    И потом, вы мелко мыслите.
    1. Уже ползают ботнеты целые, которые ищут админки роутеров, ломают их (чаще через дыры), меняют днс и имеют всё что хотят в промышленных масштабах, соблюдая при этом полную анонмность и не рискуя ничем.
    Накорябать такого бота можно за 1-2 вечера на чём угодно, материалов по дырам в роутерах даже на хабре полно выкладывали.
    2. Ещё есть куча роутеров с корявым UPnP, который открыт на ружу — через него иногда можно пробится до вебморды роутера в лолкалке, те порулить им даже если владелец/вендор не выставил его админку в инет. Там же можно посмотреть список компов в сети, и пробросить на них любой порт. Это даже не хакинг, это стандартное использование UPnP.

    И это я не вспоминал про то, что залезает в комп… и например, шифрует файлы, тырит кошельки, вот где реальное бабло в заметных колличествах.

    2 INSTE:
    В случае PPPoE @ ADSL/GPON — всем пофик, потому что траф от абонента напрямую идёт в ядро (если только у админов руки не из жопы и они забыли включить изоляцию портов, вот тогда весело...).
    Для эзернета есть такая штука как изоляция портов.

    Да никому ваш трафик и даром не нужен, разгребать тонны мусора сидя в подъезде и рискуя… — ради чего!?
    За чужой инет легко вляпатся, и искать долго не нужно: 300-1000 руб не стоят того, проще найти халявный вайфай.
    Лучше 10 сетевушек и синяя изолента %)
    Откройте для себя управляемые свичи, там есть зеркалирование портов.
    Можно вспомнить эзернет хабы, практически тоже самое.

    2 reve1:
    1. Поди узнай какой мак писать, их (2^47) — 2. Но mac-ip легко прибить к порту.
    2. QinQ может означать что влан на юзера, так что есть шанс похакать только себя и роутер провайдера, больше там может никого не оказатся.

    А большой секрет провайдеров заключается в том, что им плевать на тех 1-2 халявщиков из 10-100к абонентов, плевать сколько они качают, плевать до тех пор, пока они не начинают мешать другим абонентам а те начинают жаловатся в ТП, и тогда появляются инженера и решают проблему, или отдают её ментам, как повезёт.

    MitM на абонентов никого не интересует уже давным давно, с тех пор как тарифы безлимитные.
    Этим парятся только всякие сб банков, но и там оно мало что даст, без длительной дополнительной подготовки.

    Любой нормальный L2 коммутатор который позволяет писать ACL с оффсетами и матчингами легко может фильтровать арп анонсы с IP шлюза на всех абонентских портах.
    На практике провайдеров с вланом на дом больше беспокоят пользователи которые втыкают свой роутер лан портом в их сеть и начинают раздавать по DHCP адреса соседям.
    Есть ещё приколы с IPv6, когда абонентский комп может заанонсить себя роутером для других и гнать через туннель ипв6 в инет от соседей.

    2 VBKesha:
    всё уже украдено до вас. Патчить ничего не нужно, нужен фрирадиус и пппое сервер который умеет радиус авторизацию. Фрирадиус просто настраивается всегда отдавать ОК, заодно можно писать атрибуты в лог.
    Возмо есть сервера у которых сразу есть опция согласия на любой пароль, не интересовался.

    2 stychos:
    У вас там люди ADSL роутер то натроить не могут, а вы говорите о таких материях :)
    Помню как меня в местном отделении связи пугали что ADSL модем D-Link низя использовать, потому что он сгорит/спалит нам порт/… ещё какуюто ахинею мне плели… лишь бы я купил у них ихний интеркросс (лейбл был другой, но корпус и начинка 1в1) и ничего что он перешивается в длинк, совсем не страшно… )))
    Да собственно и компьютерных магазинов не было толковых чтобы там рассыпухой что то нужное продавалось.
    Это было в 2011 году.


    1. reve1
      12.08.2015 08:09
      +2

      Аналитика от бога. Сначала сообщаем что все бред, после рассказываем «свой» бред.
      Особенно порадовала проблема с левыми DHCP при включенном QinQ (поскольку иначе на дом vlan не напастись), вот это квалификация! Мы включили QinQ но забыли про DHCP snooping. Брава коллега, снимаю шляпу.
      Повторюсь еще раз статья не о том какие плохие провайдеры. Статья о 87% которые ни сном не духом и о том что дырка 20 лет как стоит по умолчанию.

      Спасибо.


      1. Ivan_83
        13.08.2015 06:17

        Статья — капитанство.
        Все кому хоть маленько интересно и так знют что весь PPP не очень то безопасно передаёт пароль, поэтому PPP используется скорее не как авторизация по смарт карте, а как вахтёр который спрашивает кто идёт и сверяет со списком, и это работает потому что кто попало обычно не шляется там где используют PPP.
        Пароль от ЛК соседей — никому не интересен.
        Никто не допиливает PPP все эти годы потому что или PPP ходит где то по защищённому каналу (физически или виртуально) и/или там ничего ценного нет.
        А пасспортные данные и как зовут соседей можно узнать банально воруя их бумажную почту из почтовых ящиков в подъезде, было бы желание.
        Я не отрицаю, формально провайдер скорее всего нарушил закон о ПД заюзав хрей пойми какой биллинг или применив его не так как в инструкции.

        Влан на юзера рабочая схема, как и влан на дом + изоляция портов — при такой схеме юзер видит только шлюз провайдера, и пофик чего он там делает, хуже будет только ему.
        Косяки с DHCP серверами вылазят в сетях где есть не управлемые мыльницы без изоляции портов, обычно не от лучшей жизни, когда денег на управляемые не хватает.