Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Hackujeme LAN siete

Ako sa nabúrať do LAN siete. Sú LAN siete bezpečné? Spôsoby ochrany...Veľa ľudí si myslí, že wifi siete sú nezabezpečené a pocit bezpečia im dodáva iba pevná kabeláž. Veď, čo sa mi môže stať keď som pripojený káblom? Pokúsime sa dokázať, že tento pocit bezpečia je falošný.

Malý historický úvod

Kedysi dávno (vlastne tomu až tak dávno nie je) sa používali na sieťach huby. Hub ako taký rozposielal prijaté packety všetkými smermi, čím za prvé zahlcoval sieť a za druhé sa packet dostal aj tam kam nemal. Navyše ho musela odmietnúť klientská stanica, čo zaťažovalo samotný sieťový interfejs. Zoberme si klasický príklad troch počítačov A, B, C, ktoré sú pripojené hubom. Stroj A odoslal packet s požiadavkou na stroj B. Keďže hub nevedel, kde sa nachádza stroj B, poslal požiadavku aj stroju C. Takto sa ľahko mohlo stať, že stroj C videl celu komunikáciu medzi strojmi A a B.
Tento problém sa "vyriešil" s príchodom switchov. Switch na rozdiel od hubu má v sebe tabuľku postavenú na základoch ARP. V tejto tabuľke sú uvedené mac adresy spolu s portami, za ktorými sa nachádzajú. Ak teda na takomto switchi pošle stroj A požiadavku na stroj B, túto požiadavku stroj C vôbec neuvidí lebo sa k nemu nedostane. Na prvý pohľad jednoduché a geniálne. Ale ako každý protokol, aj tento má bohužiaľ svoje slabiny.

Mac flooding

Prvou slabinou, ktorá sa dá zneužiť je tzv. mac flooding. Princíp mac floodingu je založený na tom, že keď switch nevie nájsť vo svojej tabuľke záznam o mac adrese príslušného stroja a tým pádom mu nevie priradiť port, vykoná tzv. mac flooding, čiže rozošle informácie pre istotu na všetky porty (okrem portu, z ktorého informácia prišla). Tym pádom ju uvidia všetky počítače pripojené k tomuto switchu (aj keď len v rámci jednej VLAN). Tento fakt sa dá zneužiť tým, že veľkosť tabuľky každého switcha je fyzicky obmedzená. V prípade, že útočník robí na sieti mac flooding, čiže zaplavuje switch falošnými mac adresami, tabuľka sa postupne zaplni a vytlačia sa z nej údaje o skutočných klientoch. Switch potom vykonáva sám mac flooding, nakoľko nepozná už ani skutočné mac adresy (už ich nemá v tabuľke) a rozposiela informácie do všetkých portov.
Možnosť obrany je obmedziť veľkost tabuľky switchu na určitý počet mac adries. Napr. ak máme k switchu pripojených 5 klientov, nastavíme veľkost tabulky na 5. Daľšia možnosť je zablokovanie portu, z ktorého prichádza viac ako jedna mac adresa (v prípade, že ide len o koncových klientov).

Falošný DHCP server

Väčšina klientov, či už linuxových alebo windowsových používa na svoje sieťové nastavenie údaje, ktoré získa automaticky z dhcp serveru. Bohužial dhcp protokol nie je nijako zabezpečený, a preto nie je nič ľahšie ako túto skutočnosť zneužiť. Klient nevie, ktorý dhcp server používa a ak mu pridelíme správnu ip a sprevádzkujeme komunikáciu medzi nami a skutočným dhcp serverom, možno odchytávať celú komunikáciu. Stačí aby klienti mali ako predvolenú bránu práve náš falošný dhcp server (vďaka hlavne slepým windows nastaveniam si tažko niečo všimneme). Ak stanica posiela dáta smerom von, všetky dáta idú cez útočníka. Dáta idúce smerom zo skutočnej brány idú síce priamo klientovi, ale i túto komunikaciu je možné presmerovať. Skutočný dhcp server je možne dokonca aj vyfloodovať, podobne ako mac tabuľku switchov predstieranim, že požiadavky prichádzajú z mnohých staníc.
Možnosť obrany.
Kvalitnejšie a drahšie switche umožňujú ochranu priamo dhcp protokolu a to tým, že switch povolí dhcp komunikáciu len na určitý port(y). Teoreticky sa dá aj filtrovať každý dhcp packet a na základe tabuľky kde sú previazané ip s dhcp serverom takéto packety filtrovať. Výborné možnosti v tomto poskytujú iptables v linuxe.

ARP protokol

Asi najrozšírenejší typ útoku. Útočník vyšle do siete nevyžiadaný (gratuitous) arp packet čím "presvedči" stanicu, ze on je tá pravá adresa kam ma ísť packet. Takto potom celá komunikácia medzi stanicou a serverom ide najprv cez útočníka. Proti tomuto typu utoku sa dosť tažko bráni (niekedy nepomôžu ani statické arp záznamy), ale jedným z prejavov môže byť napr náhla zmena fingerprintu servera pri nadvazovaní ssh spojenia. Z praktických skúseností môžem potvrdiť, že ľudia oblbnutí klikanim mi v pohode odklepli zmenu fingerprintu (keď neviem, čo to je dam yes, veď sa ponáhľam;o)) a týmto spôsobom som sa dokázal nabúrať aj do inak celkom bezpečnej ssh ci scp komunikácie.
Moznosť obrany.
Uzamknutím mac adresy na konkrétny port, vytvorením statickej arp tabuľky na switchi s tým, že ked mi z nejakého portu začnú chodiť packety, ktorých arp záznam nebude sedieť s mojim tento port zablokujem.

Záver

Samozrejme sú možno aj daľšie typy útokov, ktoré si však vyžadujú už vačšie znalosti, a preto je ich masivne rozšírenie nemožné. Námatkovo....napadnutie STP protokolu, využite port trunkingu, sociálneho inžinierstva (napr. výmena switcha za vlastný;o))), využitie chýb v protokoloch....fantázii sa medze nekladú. Dá sa povedať, ze celý systém zabezpečenia nepozostáva z jednej časti, ale tvorí celok, kde ak zlyhá čo i len jeden článok sú ostatné takmer zbytočné (teoria najslabšieho článku). A ako iste všetci vieme týmto najslabším článkom býva človek.

Epilóg

Najlepšou alternatívou ako sa vyhnúť problémom, alebo aspoň zminimalizovať ich dopad je použitie manažovatelných switchov, čo však nie je často finančne možné. Odporúčam preto kupovať, aj ked nemanažovatelne, ale značkové switche a to nielen kvôli spoľahlivosti, ale aj kvôli roznym vychytávkam. Napr. na switchi istej nemenovanej značky sa mi nepodarilo rozbehať arp poisoning a dodnes neviem prečo;o).

Slovnik pojmov:
hub - sieťový koncetrátor slúžiaci na spojenie viacero PC
sieťový interfejs - rozhranie, cez ktoré komunikuje pc po sieti (v našom prípade sa myslí sieťová karta PC)
switch - "druhá generácia" hubov
ARP - Address Resolution Protocol
VLAN - virtuálna LAN sieť vytvorená v už existujúcej sieti

Komentář k článku

1 Zadajte svou přezdívku:
2 Napište svůj komentář:
3 Pokud chcete dostat ban, zadejte libovolný text:

Zpět na články