В обыч­ный пят­ничный вечер я залез в Winbox поп­равить NAT — и обна­ружил в Neighbors сво­его MikroTik два десят­ка чужих устрой­ств: роуте­ры, NAS, точ­ки дос­тупа неиз­вес­тных кон­тор. В этой статье я рас­ска­жу, как выяс­нил, что про­вай­дер сва­лил всех кор­поратив­ных кли­ентов в один L2-сег­мент без какой‑либо изо­ляции, раз­беру шесть сце­нари­ев атак — от ARP spoofing и брут­форса MAC Telnet до инъ­екции мар­шру­тов через OSPF и пос­тро­ения бот­нета, не выходя­щего в интернет, — и покажу, как зак­рыть периметр сво­ими силами, раз уж про­вай­деру это неин­терес­но. Пятничный вечер, который пошел не по плану Все началось доволь­но буд­нично: в пят­ницу, в шесть вечера, я решил поп­равить на нашем офис­ном MikroTik пра­вило NAT, потому что бух­галте­рия не мог­ла зай­ти на оче­ред­ной гос­портал. Открыл Winbox, по слу­чай­нос­ти ткнул в Neighbors и нем­ного залип. Для тех, кто не работал с MikroTik, пояс­ню: на вклад­ке Neighbors вид­ны устрой­ства, обна­ружен­ные через про­токо­лы L2 discovery, — MNDP (проп­риетар­ный мик­ротиков­ский), CDP (Cisco) и LLDP (стан­дар­тный IEEE 802. 1AB)