Сетевая безопасность у ведущих провайдеров
Данный пост - технически специфический, и интересен он будет только ИТ специалистам. Не теряйте своего времени, если вы не один из них.
На выходных договорился со своим провайдером (Comcast) на апгрейд интернета до гигабитной скорости. Нельзя сказать, что предыдущих 150Мбит/с очень сильно не хватало в повседневной жизни, но если можно гигабит за разумные деньги, то почему бы и нет?
Агент, с которым торговались, категорически настаивал на призыве специалиста. Мол, там всё сложно, а они у них тренированные. Мои аргументы, что я уже вот как 17 лет домашние сети делаю своими руками помогли сбить цену за вызов, но отменить приход служителя культа не смогли. Кушать надо всем, рассудил я, за скромное вознаграждение пусть приходит. Когда уйдёт - я всё сделаю как мне надо.
И вот пришёл человек, принёс модем, подключил его к кабелю, да померял скорость. Последнее удалось ему не сразу, ибо он зачем-то пришёл без средств измерения. Съездив за средствами, он по приезду намерял скорость в 400Мб/c, что весьма странно выглядит с маркетинговой точки зрения - мне продавали гигабит. На вопрос "где скорость, Люсь?", он начал оправдываться, что, мол, чтоб гигабит увидеть устройства нужны ого-го, а у него только "коробочка" и мобильный телефон. Вот если я такое "ого-го" устройство раздобуду, тогда да, а так - нет. Будь я нормальной домохозяйкой, уперся бы рогом, но тут решил сам всё проверить и там уж бузить.
Ладно, говорю, ну ты хоть роутер на этом модеме выключи - он мне нафик не нужен, у меня вся внутренняя сеть и так уже на роутере висит. Тут жеж еще есть такой момент: Комкаст своим подписчикам предлагает услугу бесплатного доступа к глобальной сети WiFi. Всё бы хорошо, но эта сеть формируется из роутеров обычных клиентов. Т.е. роутер раздаёт клиенту оплаченные мегабайты, а заодно и бесплатных клиентов обслуживает (ему-то какая разница сколько сетей поднять? может одну, а может пять). Железка принадлежит компании и клиентом арендуется, так что тут всё гладко - как хотят, так и настраивают, но мне такое не нравится. Если уж капитализм, то частная собственность и всё такое. Я за сервис плачу - я его и танцую. Вот и попросил убрать это безобразие к такой-то матери. Профессионал тут же заявил, что на этом устройстве включить bridge mode нельзя - можно только роутер. И, что характерно, интерфейс управления через их вебсайт этого действительно не позволял.
Вечером, как появилось время начал разбираться с настройкой всего этого добра. Зашёл на вебку управления модемом, и выяснилось прекрасное:
1. Логин/пароль на модеме стояли по умолчанию. Если конкретно, то admin/password. "Супер-мега специалист" не только не позаботился их изменить, он даже ничего об этом не сказал.
2. На модеме был включен интерфейс, позволяющий присоединяться к роутеру по кабелю (MoCA). Причем в небезопасном режиме, что позволяло любому в радиусе досягаемости сигнала зайти во внутреннюю сеть! Это как минимум 5 соседних домов в обе стороны по улице, а то как бы и не больше.
3. Настройки фаервола стояли минимальные, что позволяло, к примеру, засылать бродкасты во внутреннюю сеть из внешней.
4. Bridge mode, как и следовало ожидать, включить можно - есть такая возможность в интерфейсе. Но зачем об этом интерфейсе знать пользователю, правда? Не дай бог выключит.
Разумеется, все это безобразие я исправил, но только потому, что знал куда смотреть и что трогать. Подавляющее же большинство сегодняшних потребителей интернета - это юзеры. И у них модем будет стоять в открытом режиме. Да его даже не надо взламывать - достаточно войти с паролем по умолчанию. Это же просто вопрос времени, когда какой-нибудь "вася пупкин", начитавшись профильных форумов, не учудит что-то неадекватное. Но обвинят в этом условных "русских хакеров", ибо так лучше чем признать собственную полную некомпетентность в организации бизнеса и сетевой безопасности. Можно, наверно, даже у правительства денег попросить для защиты.
Ну, и отвлеченно. Если условный мировой злодей захочет обрушить страну, ему совсем не обязательно ездить по домам, вскрывая незащищенные модемы пользователей. Ему будет надо всего лишь взломать внутреннюю сеть Комкаста чтобы получить полный доступ ко всем модемам в стране. Что-то мне подсказывает, что отношение к сетевой безопасности у них и на этом уровне точно такое же безобразное.