RSS
 

Сниффинг сети на коммутаторах. Практика

07 Авг

Computer security conceptВнимание! Статья предназначена для демонстрации уязвимостей сетей, но никак для взлома!  Автор не несет никакой ответственности за нецелевое использование приведенной информации и, тем более, за какой либо ущерб связанный с использованием данной статьи. 

В статье мы рассмотрим какие существуют уязвимости в локальных сетях. Как закрыть эти уязвимости мы рассматривать не будем, так как это уже другая тема. Но мы обязательно коснемся ее в другой статье. А пока посмотрим как провести аудит сети и выявить «дыры». Для этого будем использовать бесплатное программное обезпечение Cain&Abel. Скачать его можно на сайте www.oxid.it. После установки вас попросит загрузить и установить специальный сетевой драйвер для прослушки сетевых карт. По окончании мероприятий можно запускать утилиту Cain&Abel. Выглядит она так:

Как видите, программа имеет много интересных кнопочек на очень дружном интерфейсе. Если коротко, то она умеет сканировать и прослушивать сеть, перехватывать открытие данные (которые передаются по открытым протоколам) и ламать хеши как словарным так и брут-методом. Кроме того, есть ряд диагностических утилит и утилит для крэкинга паролей к базам данных и т.д. Мы остановимся на очень хороших возможностях утилиты — показывать какие есть открытые протоколы в сети и как снифить трафик, передающийся по этих протоколах.

Первое, что надо сделать — просканировать сеть. Как известно, слушать можно только карточки, которые находятся в той же подсети, что и снифающий компьютер. Поэтому, вводим диапазон адресов, который мы хотим прослушать в пределах нашей подсети. Переходим на вкладку Sniffer.

Нажимаем «+» и добавляем диапазон нашей подсети.

У нас он будет: 10.100.52.1 — 10.100.52.254, так как подсеть имеет маску 255.255.255.0. После сканирования получим список хостов этой подсети.

Переходим на вкладку ARP нижней панели.

Опять нажимаеи «+» и перед нами появится табличка:

В первой колонке вибираем шлюз нашей подсети. В о второй появятся все хосты, которые идут через этот шлюз в другие подсети. Выберем для примера хост 10.100.52.137 и будем его слушать когда он обращается к другим ресурсам сети. Подтверждаем наш выбор и имеем.

Видим, что наш хост обращается к ресурсам с других подсетей. Теперь переходим на вкладку Passwords в той же нижнем панели.

При некоторой активности данного хоста все перехваченные данные типа «логин/пароль» перехвачиваются и отображаются в левой панели утилиты. Давайте станем на строчку «Telnet» и увидим один перехваченный результат. В данном случае логин и пароль сохраняются в файле, который можно открыть правой кнопкой мышки. При подключении к хосту 10.100.100.99 через telnet были получены следующие данные:

Как видим, хост 10.100.52.137 соединялся с 10.100.100.99 через telnet и вводил логин: admin, пароль: admin. Так как telnet — открытый протокол, то все данные, в том числе и логин/пароль передаются по нему в открытом виде, что дает возможность видеть вот такие результаты работы прослушки сети.

Идем далее. Если к хосту подключен принтер или другое умное устройство печати, то, обычно, хост опрашивает это устройство по snmp, чтобы определять состояние последнего. Обычно snmp community никто не меняет и оно остается стандартным — public. Но даже если его поменять, то перехватить данные snmp не составляет труда, так как этот протокол работает поверх udp и тоже открыт. А snmp  позволяет не только читать данные, но при настройке прав, изменять параметры устройства. Поэтому здесь тоже нужно быть предельно аккуратным. На рисунке видим перехват snmp community.

При попытке подсоединиться к серверу 10.100.150.63 по http данные также перехватились.

Теперь попробуем перехватить ftp запрос. После имитации запроса на ftp-сервер 10.0.0.1 видим.

Я думаю, этих примеров достаточно, чтобы показать насколько небезопасны открытые протоколы доступа. Но даже закрытые тоже могут быть перехвачены и взломаны. Давайте проверим это на примере взлом протокола Kerberos. Если имитировать доступ к ресурсам домена (который работает на базе MS Windows 2003/2008), то будет перехвачет hash с данными «логин/пароль». На следующем рисунке видим.

Видим, что логин user, а пароль зашифрован в hash, который можно поломать. Правой кнопкой мыши передаем данную информацию в Cracker.

Запускаем Cracker выбрав при этом соответствующие параметры и в путь… Он может быть долгим не всегда результативным, но факт возможного взлома остается. На рисунке видно, что пароль был взломан.

Итак, сегодня мы попробовали одну из многих утилин, которая НЕ ДОЛЖНА использоваться для взлома сетей, а только для диагностики и аудита последних. Вывод напрашивается один — по минимуму использовать открытые протоколы передачи данных. Использовать протоколы шифрования ssl и tls, протоколы передачи данных https и ssh. Повыключать telnet и другие открытые протоколы.

И последнее. Если у вашей сети что-то работает не так и это не по вашей вине, то ищите шпиона внутри. Как показывает практика, взломы начинаются изнутри, а потом переростают и в более открытые формы. Так что, в любом случае, ответственность за безопасность в сети ляжет на вас, как администратора корпоративной сети.

Удачи!

 

Комментарии facebook

Комментарии vkontakte

Нет комментариев

Опубликовано в Сети

 

Оставить комментарий