Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Hackujeme LAN siete

Ako sa nabúrať do LAN siete. Sú LAN siete bezpečné? Spôsoby ochrany...Veľa ľudí si myslí, že wifi siete sú nezabezpečené a pocit bezpečia im dodáva iba pevná kabeláž. Veď, čo sa mi môže stať keď som pripojený káblom? Pokúsime sa dokázať, že tento pocit bezpečia je falošný.

Malý historický úvod

Kedysi dávno (vlastne tomu až tak dávno nie je) sa používali na sieťach huby. Hub ako taký rozposielal prijaté packety všetkými smermi, čím za prvé zahlcoval sieť a za druhé sa packet dostal aj tam kam nemal. Navyše ho musela odmietnúť klientská stanica, čo zaťažovalo samotný sieťový interfejs. Zoberme si klasický príklad troch počítačov A, B, C, ktoré sú pripojené hubom. Stroj A odoslal packet s požiadavkou na stroj B. Keďže hub nevedel, kde sa nachádza stroj B, poslal požiadavku aj stroju C. Takto sa ľahko mohlo stať, že stroj C videl celu komunikáciu medzi strojmi A a B.
Tento problém sa "vyriešil" s príchodom switchov. Switch na rozdiel od hubu má v sebe tabuľku postavenú na základoch ARP. V tejto tabuľke sú uvedené mac adresy spolu s portami, za ktorými sa nachádzajú. Ak teda na takomto switchi pošle stroj A požiadavku na stroj B, túto požiadavku stroj C vôbec neuvidí lebo sa k nemu nedostane. Na prvý pohľad jednoduché a geniálne. Ale ako každý protokol, aj tento má bohužiaľ svoje slabiny.

Mac flooding

Prvou slabinou, ktorá sa dá zneužiť je tzv. mac flooding. Princíp mac floodingu je založený na tom, že keď switch nevie nájsť vo svojej tabuľke záznam o mac adrese príslušného stroja a tým pádom mu nevie priradiť port, vykoná tzv. mac flooding, čiže rozošle informácie pre istotu na všetky porty (okrem portu, z ktorého informácia prišla). Tym pádom ju uvidia všetky počítače pripojené k tomuto switchu (aj keď len v rámci jednej VLAN). Tento fakt sa dá zneužiť tým, že veľkosť tabuľky každého switcha je fyzicky obmedzená. V prípade, že útočník robí na sieti mac flooding, čiže zaplavuje switch falošnými mac adresami, tabuľka sa postupne zaplni a vytlačia sa z nej údaje o skutočných klientoch. Switch potom vykonáva sám mac flooding, nakoľko nepozná už ani skutočné mac adresy (už ich nemá v tabuľke) a rozposiela informácie do všetkých portov.
Možnosť obrany je obmedziť veľkost tabuľky switchu na určitý počet mac adries. Napr. ak máme k switchu pripojených 5 klientov, nastavíme veľkost tabulky na 5. Daľšia možnosť je zablokovanie portu, z ktorého prichádza viac ako jedna mac adresa (v prípade, že ide len o koncových klientov).

Falošný DHCP server

Väčšina klientov, či už linuxových alebo windowsových používa na svoje sieťové nastavenie údaje, ktoré získa automaticky z dhcp serveru. Bohužial dhcp protokol nie je nijako zabezpečený, a preto nie je nič ľahšie ako túto skutočnosť zneužiť. Klient nevie, ktorý dhcp server používa a ak mu pridelíme správnu ip a sprevádzkujeme komunikáciu medzi nami a skutočným dhcp serverom, možno odchytávať celú komunikáciu. Stačí aby klienti mali ako predvolenú bránu práve náš falošný dhcp server (vďaka hlavne slepým windows nastaveniam si tažko niečo všimneme). Ak stanica posiela dáta smerom von, všetky dáta idú cez útočníka. Dáta idúce smerom zo skutočnej brány idú síce priamo klientovi, ale i túto komunikaciu je možné presmerovať. Skutočný dhcp server je možne dokonca aj vyfloodovať, podobne ako mac tabuľku switchov predstieranim, že požiadavky prichádzajú z mnohých staníc.
Možnosť obrany.
Kvalitnejšie a drahšie switche umožňujú ochranu priamo dhcp protokolu a to tým, že switch povolí dhcp komunikáciu len na určitý port(y). Teoreticky sa dá aj filtrovať každý dhcp packet a na základe tabuľky kde sú previazané ip s dhcp serverom takéto packety filtrovať. Výborné možnosti v tomto poskytujú iptables v linuxe.

ARP protokol

Asi najrozšírenejší typ útoku. Útočník vyšle do siete nevyžiadaný (gratuitous) arp packet čím "presvedči" stanicu, ze on je tá pravá adresa kam ma ísť packet. Takto potom celá komunikácia medzi stanicou a serverom ide najprv cez útočníka. Proti tomuto typu utoku sa dosť tažko bráni (niekedy nepomôžu ani statické arp záznamy), ale jedným z prejavov môže byť napr náhla zmena fingerprintu servera pri nadvazovaní ssh spojenia. Z praktických skúseností môžem potvrdiť, že ľudia oblbnutí klikanim mi v pohode odklepli zmenu fingerprintu (keď neviem, čo to je dam yes, veď sa ponáhľam;o)) a týmto spôsobom som sa dokázal nabúrať aj do inak celkom bezpečnej ssh ci scp komunikácie.
Moznosť obrany.
Uzamknutím mac adresy na konkrétny port, vytvorením statickej arp tabuľky na switchi s tým, že ked mi z nejakého portu začnú chodiť packety, ktorých arp záznam nebude sedieť s mojim tento port zablokujem.

Záver

Samozrejme sú možno aj daľšie typy útokov, ktoré si však vyžadujú už vačšie znalosti, a preto je ich masivne rozšírenie nemožné. Námatkovo....napadnutie STP protokolu, využite port trunkingu, sociálneho inžinierstva (napr. výmena switcha za vlastný;o))), využitie chýb v protokoloch....fantázii sa medze nekladú. Dá sa povedať, ze celý systém zabezpečenia nepozostáva z jednej časti, ale tvorí celok, kde ak zlyhá čo i len jeden článok sú ostatné takmer zbytočné (teoria najslabšieho článku). A ako iste všetci vieme týmto najslabším článkom býva človek.

Epilóg

Najlepšou alternatívou ako sa vyhnúť problémom, alebo aspoň zminimalizovať ich dopad je použitie manažovatelných switchov, čo však nie je často finančne možné. Odporúčam preto kupovať, aj ked nemanažovatelne, ale značkové switche a to nielen kvôli spoľahlivosti, ale aj kvôli roznym vychytávkam. Napr. na switchi istej nemenovanej značky sa mi nepodarilo rozbehať arp poisoning a dodnes neviem prečo;o).

Slovnik pojmov:
hub - sieťový koncetrátor slúžiaci na spojenie viacero PC
sieťový interfejs - rozhranie, cez ktoré komunikuje pc po sieti (v našom prípade sa myslí sieťová karta PC)
switch - "druhá generácia" hubov
ARP - Address Resolution Protocol
VLAN - virtuálna LAN sieť vytvorená v už existujúcej sieti

loading...
Předmět Autor Datum
Z toho plyne jediné - kdo chce mít informace utajeny - nesmí si kupovat počítač. :-D
Flash_Gordon 12.12.2006 00:53
Flash_Gordon
Pěkné a srozumitelně napsané :beer:
josephino 12.12.2006 09:31
josephino
mne sa ten clanok tiez paci. pri nie velkom rozsahu velmi zrozumitelne napisany. dobra praca fleg. 8…
IgorK 12.12.2006 15:07
IgorK
Možná to bude rouhání ale na toto téma napsal poměrně dost kvalitních článků Martin Haller na server…
Marvin 13.12.2006 11:58
Marvin
ruhanie to nie je. ja sam som napisal tento clanok na inom servri uz pred cca 2 rokmi. zhodou okolno…
fleg 13.12.2006 14:27
fleg
Zhadzoval si ich príkazom obsahujúcim "con"?;-)
msx. 14.12.2006 21:09
msx.
tych sposobov je viacej. ked nieco potrebujes tak si to na nete najdes;o). este som zabudol povedat…
fleg 14.12.2006 21:47
fleg
mam rad takych sefkov, ked nieco chces tak si to nan ete najdes... svedci o tom ze dotycny vie hovn… poslední
sektor 29.08.2007 11:19
sektor

ruhanie to nie je. ja sam som napisal tento clanok na inom servri uz pred cca 2 rokmi. zhodou okolnosti v ten isty den (alebo den nato?) vysli 2 podobne clanky na inych servroch. mna pred obvinenim z plagiatorstva zachranil len fakt ze som uverejnil clanok ako prvy;o). ono na tu temu nie je co pisat je to o tom istom ide len o formu akou sa to poda.
clanok vychadza z mojich skusenosti, ktore som ziskal na iternate ked som sa nudil a bavila ma bezpecnost a neskor ako lokalny isp kde som sa musel riesit uz aj podobne problemy.
na zaver jedna piskoka z internatu. kedze som sa bavil v tom case s bezpecnostou upozornoval som spravcu siete na pripadne bezpecnostne chyby (napr lokalne exploity ktore mi umoznili ziskat roota). odmenou mi bolo ze ked sa stalo nieco zle prvy som bol z toho obvineny ja (samozrejme nepravom).
velmi podobne veci sa mi stali pri useroch. pri bavkani na sieti som napr zistil ze dany user ma zavireny pc. napisal som mu cez chat, net send alebo inym sposobom ho upozornil ze som zistil ze v pc ma bordel. alebo som usera informoval ze prave teraz ide jeho sifrovana komunikacia cezo mna pretoze spravil taku a taku chybu. namiesto podakovania som obdrzal kopec vyhrazok v podobe fyzickeho napadnutia a pod. za dobrotu na zebrotu co uz;o).
inak cele ak sa nemylim sa to zacalo tak ze nas internat mal 128kb linku na ktoru bolo zavesenu cca 80 userov. za toho bolo asi 7 ktory stahovali permanentne nejake porna. kedze ja som si chcel sem tam zahrat csko a to sa nedalo ani o 4 rano (s 2s pingom to moc neslo), pripadne stiahnut postu skor ako za hodinu tak som im tie pc na dialku "zostreloval" do znamych bluescreenov (jednalo sa o win stroje;o)). toto sa vsak dialo s tichym suhlasom spravcu ktory mi sem tam este aj pomahal. potom sme presli na optiku ale moj zaujem o bezpecnost trval aj nadalej.

Zpět na články Přidat komentář k článku Nahoru

loading...