Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Lyall 22. 01. 2019, 09:57:13
-
Ahoj, měl bych dotaz ohledně odposlechu na síti.
1) Kde v síti je možné data odposlechnout?
Předpokládám, že to lze jen na lokální síti. Ale mohli byste mi to, prosím, více rozebrat? Proč, jak to funguje a tak? Případně nějaký odkaz na obrázek, kde může být útočník k lepšímu pochopení?
2) Lze odposlouchávat i data šifrovaná pomocí asym. kryptografie? Případně jak?
Mockrát děkuji
-
1) Kde v síti je možné data odposlechnout?
2) Lze odposlouchávat i data šifrovaná pomocí asym. kryptografie? Případně jak?
1) Data lze odposlechnout tam, kde tečou... Tj. ideální místo je např. router/firewall/před firewallem, ale tam neodposlechnete data, která si posílají stanice v rámci LAN (předpokládám nějakou rozsáhlejší topologii - oddělený firewall/router, switche atp.). Stejně tak asi ideální místo pro zachycení komunikace v rámci LAN je core switch, ale pokud budou dvě stanice připojené na stejném distribučním switchi, tak se jejich komunikace na core nedostane.
Zachytit data (a předávat je např. na svoje zařízení) lze vytvořením span/mirror portu na např. uplink zařízení nebo vložení sondy (TAP, https://wiki.wireshark.org/CaptureSetup/Ethernet#Capture_using_a_network_tap) do provozu.
2) Zachytávat šifrovaná data lze libovolně, pokud je ovšem chcete i dešifrovat, tak potřebujete podstrčit vlastní certifikát a udělat MITM (https://cs.wikipedia.org/wiki/Man_in_the_middle). Dělají to tak např. běžně firewally (např. SSL Inspection, https://cookbook.fortinet.com/glossary/ssl-inspection/).
-
Nektere blbejsi zarizeni a infrastrukturu lze obalamutit skrze ARP a presvedcit je, ze vy jste router.
Takze se staci pripojit do stejne LAN kdekoliv.
-
Nektere blbejsi zarizeni a infrastrukturu lze obalamutit skrze ARP a presvedcit je, ze vy jste router.
Takze se staci pripojit do stejne LAN kdekoliv.
Vsechna zarizeni lze presemerovat nevyzadanym ARP REPLY. Protokol ARP neni nijak zabezpecen.
Mezi nejcastejsi utoky patri:
ARP Poison:
Zaslu nevyzadane ARP odpovedi a presmeruji provoz stanice a jeji GW zmenou cilove MAC adresy.
https://en.wikipedia.org/wiki/ARP_spoofing
DHCP Spoofing:
Vytvorim na siti svuj DHCP server a klientum podvrhnu adresu GW anebo napr. adresu DNS.
MAC flooding:
Zaplnim pamet switche podvrhnutymi zdrojovymi MAC adresami, nacez ten se nemuze naucit nove a zacne provadet unicast flooding.
https://en.wikipedia.org/wiki/MAC_flooding
HSRP/VRRP spoofing:
Snazim se stat aktivnim routerem clusteru zmenou priority.
https://en.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol
STP
Preberu roli ROOT Bridge zmenou priority v Bridge-ID.
https://en.wikipedia.org/wiki/Spanning_Tree_Protocol
SPAN port:
Softwarove zrcadli provoz.
https://en.wikipedia.org/wiki/Port_mirroring
TAP:
Hardwarove zrcadli provoz.
https://en.wikipedia.org/wiki/Beam_splitter
Utoky mohou byt i mimo LAN:
Lze presmerovat provoz v internetu pomoci BGP AS_PATH prepending.
https://en.wikipedia.org/wiki/BGP_hijacking
Vseobecne data jsou k nicemu pokud jsou zasifrovana.
SSL Strip:
Snazi se degradovat SSL relaci na plain-textovou.
https://moxie.org/software/sslstrip/
SSL inspekce:
Provadi se duverou v mistni CA, kdy FW dela ad-hoc certifikaty.
Jsou tu urcite ochrany, napr. HSTS:
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Ta problematika je prislis obsahla.
-
Pokud by se jednalo o síť kde provoz lítá vzduchem (třeba wifi), tak útočníka ani nemusíš zjistit. Může sedět někde za rohem a potichu odchytávat na nějaké klidně i kapesní zařízení. Podmínka je že musí mít na přístroji wifi chip který umí "monitor mode" (těch je většina)
https://en.wikipedia.org/wiki/Comparison_of_open-source_wireless_drivers
(https://en.wikipedia.org/wiki/Comparison_of_open-source_wireless_drivers)
Kismetem (https://en.wikipedia.org/wiki/Kismet_(software)) potom poskládá jednotlivé tcpdump streamy. Když to není šifrované, tak tě má jak na talíři. ;D Vidí kdo, ským, co. Není velký problém z toho zpětně poskládat soubory nebo dokonce audio video streamy.
Dobrá zpráva pro uživatele je, že i když je wifi nešifrovaná tak většinou stejně šifruje aplikace takže náš útočník vidí jenom kdo s kým komunikoval a kolik dat se přeneslo ale obsah komunikace nevidí.
Zagoogli si "kismet passive wireless sniffing"
-
ARP Poison:
DHCP Spoofing:
MAC flooding:
HSRP/VRRP spoofing:
STP
Všechny tyto útoky lze ovšem na pokročilejších zařízeních blokovat. Nemyslím switch za 300,-...
-
Všechny tyto útoky lze ovšem na pokročilejších zařízeních blokovat. Nemyslím switch za 300,-...
Ja netvrdim, ze ne :)
-
Ja netvrdim, ze ne :)
Krome VRRP. Nove RFC zrusilo podporu overeni.
-
Všechny tyto útoky lze ovšem na pokročilejších zařízeních blokovat. Nemyslím switch za 300,-...
Ja netvrdim, ze ne :)
Ja netvrdím, že tvrdíte ;D
-
Ja netvrdim, ze ne :)
Krome VRRP. Nove RFC zrusilo podporu overeni.
Pak to chce použít zařízení ověřeného vendora, který na RFC kašle. Třeba Cisco 8)
-
Pak to chce použít zařízení ověřeného vendora, který na RFC kašle. Třeba Cisco 8)
Jenze i kdyz neznas heslo, tak se stejne novy router se stejnou VRRP skupinou a VIP prohlasi za mastera a zacne odpovidat na ARP, tudiz se nekteri klienti nauci jeho MAC jako GW. Zalezi ktereho routeru dorazi ARP Reply jako posledni.
-
Pokud by se jednalo o síť kde provoz lítá vzduchem (třeba wifi), tak útočníka ani nemusíš zjistit. Může sedět někde za rohem a potichu odchytávat na nějaké klidně i kapesní zařízení. Podmínka je že musí mít na přístroji wifi chip který umí "monitor mode" (těch je většina)
Opravdu? Neplatí to jen za určitých podmínek jako způsob šifrování sítě a/nebo znalost hesla dané sítě? Případně topologiií sítě? Řekl bych, že tohle musí být dávno nějak ošetřeno (u WPA), že při komunikaci daného klienta s Access Pointem se používá individuální odvozený klíč. Spoléhá tento útoka na něco, jako brute force zjištění klíče / znalost hesla ?