Russian English German Ukrainian
Феншуй — это когда холодильник стоит рядом с компом для удобства и красоты.

Home Настройка Аудит локальной сети

Аудит локальной сети

19.11.2010 11:36 | Автор: Toxa Bes | PDF | Печать | E-mail

Аудит локальной сети

Сегодня я расскажу о том, что происходит после того как злоумышленник проник во внутреннюю сеть предприятия (например через служебный wi-fi канал). После проникновения начинается сбор информации о структуре сети, выявляются дальнейшие цели (сервера, компьютер администратора, уязвимые сервисы, учетные данные и т.д.). Если с определением структуры сети все просто (достаточно воспользоваться одним из многочисленных сканеров), то с отловом учетных записей дело обстоит немного интереснее.

Итак, нам известен диапазон ай-пи адресов, маска подсети. Выяснить шлюз и dns-сервер не составляет никакого труда. Мало того, просканив нужный диапазон и просто посмотрев на имена компьютеров и тип операционной системы (с помощью Nmap), можно довольно легко вычислить компьютер системного администратора. Грубо говоря, если в результатах сканирования есть компьютер с именем Admin или root, или в сети 3 Linux системы, причем одна из них Ваша, а вторая - шлюз/сервер, то узнать IP адрес админа очень просто.

В моем случае было все интереснее: Liunux компов было больше, подсетей было 2 и компьютер админа назывался Soro-kin. Как я это выяснил? Очень просто: по анализу открытых портов с помощью Nmap. Согласитесь, единственный компьютер в сети с открытыми портами ssh, vnc, web-vnc, webmin, rdp, samba и что самое главное порт 5190 (icq) явный кандидат на админскую машину. Узнав IP админа (192.168.0.8) начинается прослушка пакетов. Для этого обычно используется тип атаки под названием человек в середине (MitM - Man in the Middle).

Для реализации такой атаки необходим так назваемый ARP-spoofing. Суть его вследующем:

Когда админ лезет почитать башорг его компьютер кричит на всю сеть - кто тут знает в какой стороне баш? Обычно шлюз отвечает "я знаю". Суть ARP-spoofing в том что компьютер злоумышленника тоже начинает отвечать, что он знает где баш и компьютер админа ему верит. В итоге все пакеты админа идут через компьютер атакующего на шлюз и дальше в интернет. По такой же цепочке пакеты возвращаются к компу админа. Соответственно все учетные данные в открытом или шифрованном виде проходят через атакующий компьютер. Кстати, это одна из самых популярных атак в банковских сетях.

Хватит теории, посомтрим что происходит на самом деле. Запускаем backtrack. Идем в меню, находим утилиту Ettercap и запускаем ее. В меню утилиты выбираем Unified sniffing и указываем наш сетевой интерфейс (обычно eth0 или eth1).

После чего указываем какой компьютер атаковать (Select target).

Указываем ip адрес вот так /192.168.0.8/ . Если нужен диапазон, то вот так /192.168.0.8-16/

Выбираем в меню Start Sniffing

Теперь сканируем хосты с помощью меню Scan for hosts

Выбираем тип атаки ARP poisoning

После чего в появившемся окне ставим флажок sniff remote connections и нажимаем Start mitm attack

Открываем список соединеий (Connections)

И ждем. Как только админ отправит учетные данные на подключение к чему либо, мы сразу это увидим.

Вот и улов. Админ решил зайти на mail.ru и судя по названию на копоративную почту. Из этических соображений я закрасил учетные данные.

Как видите, после проникновения в сеть получение критичных к распростронению данных - лишь вопрос времени. Давайте рассмотрим плюсы и минусы такой атаки, а затем я расскажу о мерах противодействия.

Плюсы:

  • работает практически всегда, не зависит от типа ОС
  • путем подмены сертификата можно получить данные из SSL траффика
  • нешифрованные данные ловит моментально
  • некоторые шифрованные протоколы может ловить при обмене ключами, например RDP.

Минусы:

  • позволяет прослушивать сеть до первого роутера (не путать со свичем). У роутера свои ARP-таблицы и проскочить через него с этим типом атаки в другую подсеть будет очень проблематично
  • в случае шифрованных данных показывает hash, который приходится ломать перебором по словарям
  • при установленных VPN подключениях вообще ничего не показыват.

Также хочу упомянуть что все сказанное здесь не призыв к действию, а лишь попытка понять алгоритм действий злоумышленника, чтобы более успешно ему противодействовать. Не вздумайте применять это метод у себя в локальной сети. Админы сети как минимум забанят, как максимум подадут 220В на витую пару или применят паяльник не по назначению. Помните, что я не несу ответственности за результаты применений этих знаний.

Меры противодействия

  1. Шифровать данные ассимитричными ключами, причем обмен ключами производить по другому каналу связи (и надеяться что этот канал связи не прослушивается)
  2. Установить на клиентских машинах нормальный фаерволл, например Outpost Firewall. Он защищает от таких атак, если запустился раньше, чем началась атака
  3. Использовать по поводу и без повода VPN каналы.

Оригинал статьи

Обновлено (31.12.2010 22:58)

 

Добавить комментарий

Все комментарии анонимных пользователей модерируются.


Защитный код
Обновить

feed-image

Copyright © 2010.
All Rights Reserved.

Designed by Andrey.