T1590.004: ТОПОЛОГІЯ МЕРЕЖІ
Зловмисники збирають дані про фізичну та логічну структуру мережі жертви. Це включає розташування шлюзів, роутерів, фаєрволів, а також схему сегментації мережі (наприклад, де знаходиться DMZ, а де — внутрішні сервери бази даних). Знання топології дозволяє хакеру зрозуміти, які пристрої стоять на шляху до його цілі та як працюють маршрути передачі даних усередині організації.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть збирати інформацію про топологію мережі жертви, яка може бути використана під час вибору цілі. Інформація про топологію мережі може включати різноманітні деталі, зокрема фізичне та/або логічне розташування як зовнішніх, так і внутрішніх мережевих середовищ. Ця інформація також може включати специфіку щодо мережевих пристроїв (шлюзи, роутери тощо) та іншої інфраструктури.
Зловмисники можуть збирати цю інформацію різними способами, наприклад, через прямі дії зі збору за допомогою Активного сканування або Фішингу для отримання інформації. Інформація про топологію мережі також може бути розкрита зловмисникам через онлайн-ресурси або інші доступні набори даних (наприклад, пошук на вебсайтах, що належать жертві).
Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, пошук у відкритих технічних базах даних або на вебсайтах), створення оперативних ресурсів (придбання або компрометація інфраструктури) та/або початкового доступу (зовнішні віддалені сервіси).
Як хакери «малюють» вашу мережу?
- Traceroute / ICMP Analysis: Використання звичайних команд трасування дозволяє побачити проміжні вузли. Кожен “хоп” — це роутер або фаєрвол. Аналіз відповідей (або їх відсутності) допомагає зрозуміти, де закінчується публічний інтернет і починається внутрішня мережа.
- Аналіз вихідних файлів: Схеми мереж часто потрапляють у мережу через помилки адміністраторів: випадково завантажені на сайт документи Visio, скріншоти в інструкціях для користувачів або описи архітектури в резюме.
- SNMP Probing: Якщо протокол SNMP на роутерах налаштований неправильно (використовуються стандартні паролі типу public), зловмисник може отримати повну таблицю маршрутизації та список усіх інтерфейсів пристрою.
- BGP (Border Gateway Protocol) Analysis: Вивчення публічних таблиць маршрутизації дозволяє хакеру побачити, через яких провайдерів ваша мережа з’єднується зі світом, що важливо для планування DDoS-атак або перехоплення трафіку.
Чому це небезпечно?
- Виявлення «дірок» у сегментації: Якщо хакер бачить, що з гостьового Wi-Fi можна «достукатися» до сервера з бухгалтерією, він вибере саме цей шлях.
- Націлювання на критичні вузли: Замість атаки на сотні комп’ютерів, зловмисник може атакувати один центральний комутатор, щоб паралізувати роботу всього офісу.
- Ефективне переміщення (Lateral Movement): Вже знаходячись усередині, хакер з готовою картою мережі діє значно швидше, уникаючи «пасток» (Honeypots).
Як захиститися?
- Обмеження ICMP/Traceroute: Налаштуйте зовнішні фаєрволи так, щоб вони не відповідали на запити трасування або не розкривали свої внутрішні IP-адреси.
- Сувора сегментація: Використовуйте VLAN та мікросегментацію (Zero Trust), щоб навіть при знанні топології зловмисник не міг вільно переміщатися між відділами.
- Безпека SNMP: Використовуйте тільки версію SNMPv3 з шифруванням та складними паролями.
- Приховування внутрішніх адрес: Використовуйте NAT (Network Address Translation), щоб внутрішня структура мережі була невидимою для зовнішнього спостерігача.