Odposlech na síti

Lyall

Odposlech na síti
« kdy: 22. 01. 2019, 09:57:13 »
Ahoj, měl bych dotaz ohledně odposlechu na síti.

1) Kde v síti je možné data odposlechnout?
Předpokládám, že to lze jen na lokální síti. Ale mohli byste mi to, prosím, více rozebrat? Proč, jak to funguje a tak? Případně nějaký odkaz na obrázek, kde může být útočník k lepšímu pochopení?

2) Lze odposlouchávat i data šifrovaná pomocí asym. kryptografie? Případně jak?

Mockrát děkuji


Pepan

Re:Odposlech na síti
« Odpověď #1 kdy: 22. 01. 2019, 10:36:11 »
1) Kde v síti je možné data odposlechnout?

2) Lze odposlouchávat i data šifrovaná pomocí asym. kryptografie? Případně jak?

1) Data lze odposlechnout tam, kde tečou... Tj. ideální místo je např. router/firewall/před firewallem, ale tam neodposlechnete data, která si posílají stanice v rámci LAN (předpokládám nějakou rozsáhlejší topologii - oddělený firewall/router, switche atp.). Stejně tak asi ideální místo pro zachycení komunikace v rámci LAN je core switch, ale pokud budou dvě stanice připojené na stejném distribučním switchi, tak se jejich komunikace na core nedostane.
 Zachytit data (a předávat je např. na svoje zařízení) lze vytvořením span/mirror portu na např. uplink zařízení nebo vložení sondy (TAP, https://wiki.wireshark.org/CaptureSetup/Ethernet#Capture_using_a_network_tap) do provozu.
2) Zachytávat šifrovaná data lze libovolně, pokud je ovšem chcete i dešifrovat, tak potřebujete podstrčit vlastní certifikát a udělat MITM (https://cs.wikipedia.org/wiki/Man_in_the_middle). Dělají to tak např. běžně firewally (např. SSL Inspection, https://cookbook.fortinet.com/glossary/ssl-inspection/).

RDa

  • *****
  • 2 465
    • Zobrazit profil
    • E-mail
Re:Odposlech na síti
« Odpověď #2 kdy: 22. 01. 2019, 11:34:59 »
Nektere blbejsi zarizeni a infrastrukturu lze obalamutit skrze ARP a presvedcit je, ze vy jste router.
Takze se staci pripojit do stejne LAN kdekoliv.

Drat

Re:Odposlech na síti
« Odpověď #3 kdy: 22. 01. 2019, 13:10:01 »
Nektere blbejsi zarizeni a infrastrukturu lze obalamutit skrze ARP a presvedcit je, ze vy jste router.
Takze se staci pripojit do stejne LAN kdekoliv.
Vsechna zarizeni lze presemerovat nevyzadanym ARP REPLY. Protokol ARP neni nijak zabezpecen.

Mezi nejcastejsi utoky patri:

ARP Poison:
Zaslu nevyzadane ARP odpovedi a presmeruji provoz stanice a jeji GW zmenou cilove MAC adresy.
https://en.wikipedia.org/wiki/ARP_spoofing

DHCP Spoofing:
Vytvorim na siti svuj DHCP server a klientum podvrhnu adresu GW anebo napr. adresu DNS.

MAC flooding:
Zaplnim pamet switche podvrhnutymi zdrojovymi MAC adresami, nacez ten se nemuze naucit nove a zacne provadet unicast flooding.
https://en.wikipedia.org/wiki/MAC_flooding

HSRP/VRRP spoofing:
Snazim se stat aktivnim routerem clusteru zmenou priority.
https://en.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol

STP
Preberu roli ROOT Bridge zmenou priority v Bridge-ID.
https://en.wikipedia.org/wiki/Spanning_Tree_Protocol

SPAN port:
Softwarove zrcadli provoz.
https://en.wikipedia.org/wiki/Port_mirroring

TAP:
Hardwarove zrcadli provoz.
https://en.wikipedia.org/wiki/Beam_splitter

Utoky mohou byt i mimo LAN:
Lze presmerovat provoz v internetu pomoci BGP AS_PATH prepending.
https://en.wikipedia.org/wiki/BGP_hijacking

Vseobecne data jsou k nicemu pokud jsou zasifrovana.

SSL Strip:
Snazi se degradovat SSL relaci na plain-textovou.
https://moxie.org/software/sslstrip/

SSL inspekce:
Provadi se duverou v mistni CA, kdy FW dela ad-hoc certifikaty.

Jsou tu urcite ochrany, napr. HSTS:
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Ta problematika je prislis obsahla.

bezdrat

Re:Odposlech na síti
« Odpověď #4 kdy: 22. 01. 2019, 13:13:15 »
Pokud by se jednalo o síť kde provoz lítá vzduchem (třeba wifi), tak útočníka ani nemusíš zjistit. Může sedět někde za rohem a potichu odchytávat na nějaké klidně i kapesní zařízení. Podmínka je že musí mít na přístroji wifi chip který umí "monitor mode" (těch je většina)
https://en.wikipedia.org/wiki/Comparison_of_open-source_wireless_drivers

Kismetem potom poskládá jednotlivé tcpdump streamy. Když to není šifrované, tak tě má jak na talíři. ;D Vidí kdo, ským, co. Není velký problém z toho zpětně poskládat soubory nebo dokonce audio video streamy.
Dobrá zpráva pro uživatele je, že i když je wifi nešifrovaná tak většinou stejně šifruje aplikace takže náš útočník vidí jenom kdo s kým komunikoval a kolik dat se přeneslo ale obsah komunikace nevidí.
Zagoogli si "kismet passive wireless sniffing"


Pepan

Re:Odposlech na síti
« Odpověď #5 kdy: 22. 01. 2019, 13:26:56 »
ARP Poison:

DHCP Spoofing:

MAC flooding:

HSRP/VRRP spoofing:

STP

Všechny tyto útoky lze ovšem na pokročilejších zařízeních blokovat. Nemyslím switch za 300,-...

Drat

Re:Odposlech na síti
« Odpověď #6 kdy: 22. 01. 2019, 14:02:36 »
Všechny tyto útoky lze ovšem na pokročilejších zařízeních blokovat. Nemyslím switch za 300,-...
Ja netvrdim, ze ne :)

Drat

Re:Odposlech na síti
« Odpověď #7 kdy: 22. 01. 2019, 14:07:51 »
Ja netvrdim, ze ne :)
Krome VRRP. Nove RFC zrusilo podporu overeni.

Pepan

Re:Odposlech na síti
« Odpověď #8 kdy: 22. 01. 2019, 14:08:28 »
Všechny tyto útoky lze ovšem na pokročilejších zařízeních blokovat. Nemyslím switch za 300,-...
Ja netvrdim, ze ne :)
Ja netvrdím, že tvrdíte  ;D

Pepan

Re:Odposlech na síti
« Odpověď #9 kdy: 22. 01. 2019, 14:10:21 »
Ja netvrdim, ze ne :)
Krome VRRP. Nove RFC zrusilo podporu overeni.
Pak to chce použít zařízení ověřeného vendora, který na RFC kašle. Třeba Cisco  8)

Drat

Re:Odposlech na síti
« Odpověď #10 kdy: 22. 01. 2019, 20:36:54 »
Pak to chce použít zařízení ověřeného vendora, který na RFC kašle. Třeba Cisco  8)
Jenze i kdyz neznas heslo, tak se stejne novy router se stejnou VRRP skupinou a VIP prohlasi za mastera a zacne odpovidat na ARP, tudiz se nekteri klienti nauci jeho MAC jako GW. Zalezi ktereho routeru dorazi ARP Reply jako posledni.

wifi sniff

Re:Odposlech na síti
« Odpověď #11 kdy: 22. 01. 2019, 21:09:26 »
Pokud by se jednalo o síť kde provoz lítá vzduchem (třeba wifi), tak útočníka ani nemusíš zjistit. Může sedět někde za rohem a potichu odchytávat na nějaké klidně i kapesní zařízení. Podmínka je že musí mít na přístroji wifi chip který umí "monitor mode" (těch je většina)

Opravdu? Neplatí to jen za určitých podmínek jako způsob šifrování sítě a/nebo znalost hesla dané sítě? Případně topologiií sítě? Řekl bych, že tohle musí být dávno nějak ošetřeno (u WPA), že při komunikaci daného klienta s Access Pointem se používá individuální odvozený klíč.  Spoléhá tento útoka na něco, jako brute force zjištění klíče / znalost hesla ?