Tinklų saugumas

D. Povasar

V. Bačiulis

Sniffing'as

Kas yra sniffing'as? Tai būdas išgauti tinklu „keliaujančius“ nešifruotus duomenis „atveriant“ kitiems skirtus paketus.

Kaip ir kada tai nutinka? Tam užtenka nepakankamai apsaugoto tinklo ir bent vieno „gudraus“ tinklo naudotojo. Prieš sniff'inant duomenis, pirmiausia reikia rasti būdą kaip perimti kitiems skirtus paketus. Ypač dažnai tam naudojamas ARP nuodijimas.

Jei hakeris negali atspėti jūsų slaptažodžio, jis ras kitus būdus jo išgavimui...

Apsisaugojimo būdai

Svarbiems duomenims nenaudoti protokolų, kurie nešifruoja duomenų (nesaugūs: HTTP, FTP, Telnet, ...).

Jei būtina naudotis nesaugiais protokolais, bandyti juos tuneliuoti (kad svarbūs duomenys būtų šifruojami).

Naudoti statines ARP lenteles (daugiau vargo prižiūrint, bet užtat saugu).

Naudotis įrankiais kaip ARPWatch, kurie aptinka MAC adresų pasikeitimus.

...

Laboratorinis įgyvendinimas

Naudojama įranga:– Bevielis maršrutizatorius (Cisco Linksys E4200)– Keletas kompiuterių, mobilusis telefonas

Naudojama programinė įranga:– Ubuntu 11.10 operacinė sistema– arpspoof– dsniff– Wireshark– Ettercap

Bandymas #1: ARP Man in the Middle (1)

Tikslas: tapti „tarpininku“ tarp maršrutizatoriaus ir telefono pasinaudojant ARP nuodijimu.

Bandymas #1: ARP Man in the Middle (2)

Įjungiame paketų persiuntimą terminale įvesdami:– Linux atveju: echo 1 > /proc/sys/net/ipv4/ip_forward– BSD atveju: sysctl -w net.inet.ip.forwarding=1

Pastaba: kai kurie įrankiai tai padaro automatiškai, tačiau atsarga gėdos nedaro... ☺

Kas nutiks, jei bus išjungtas paketų persiuntimas? Kompiuteris „išmes“ ne jam skirtus paketus „Aukos“ kompiuteris negalės naudotis internetu

Daugeliui komandų reikia root naudotojo teisių, todėl patogumo dėlei įveskite komandą su - arba sudo su -.

Bandymas #1: ARP Man in the Middle (3)

Susirandame „aukos“ IP adresą. Tai galima padaryti įvairias būdais. Greitas ir itin paprastas būdas yra pasinaudoti arp-scan įrankiu.

Bandymas #1: ARP Man in the Middle (4)

Užnuodijame ARP lenteles terminale įvesdami:– arpspoof -t 192.168.1.1 192.168.1.103– arpspoof -t 192.168.1.103 192.168.1.1

Pastaba: arpspoof komanda generuoja nemažai išvesties, todėl patogumo dėlei galite komandos gale prirašyti &> /dev/null& (t. y., visų srautų nukreipimas į „juodąją skylę“ ir komandos paleidimas foninėje veiksenoje).

Bandymas #1: ARP Man in the Middle (5)

Terminale pasileidžiame dsniff įrankį. Jo dėka mums nereikia „kapstytis“ po paketų krūvą...

Pastaba: dsniff šiek tiek užtrunka, kol iš paketų ištraukia duomenis.

Bandymas #1: ARP Man in the Middle (6)

Naudojant Wireshark, duomenis teks „išsitraukti“ rankiniu būdu.

Bandymas #1: ARP Man in the Middle (7)

Baigę sniff'inimą, nukill'iname arpspoof komandos procesus terminale įvesdami killall arpspoof.

Bandymas #2: ARP Man in the Middle (1)

Šiame bandyme pasinaudosime programa Ettercap ir dsniff įrankiu.

Ettercap turi tiek grafinę, tiek tekstinę sąsajas bei palaiko 4 MITM atakų tipus, todėl yra „universalesnė“ nei komanda arpspoof.

Apie dsniff įrankį sužinojote ankstesnėse skaidrėse. Jį naudosime patogiam duomenų išgavimui.

Tikslas: perimti visų tinklo įrenginių paketus apsimetant default gateway.

Pastaba: šios atakos nepatartina naudoti dideliuose tinkluose.

Bandymas #2: ARP Man in the Middle (2)

Atsidarome Ettercap (per meniu arba terminale įvesdami sudo ettercap -G).

Bandymas #2: ARP Man in the Middle (3)

1. Pasirenkame sniff'inimo režimą (Sniff → Unified sniffing...).2. Atsivėrusiame lange pasirenkame norimą tinklo sąsają (mūsų atveju eth0).

3. Praskenuojame subnet'o host'us (Hosts → Scan for hosts). Priklausomai nuo tinklo kaukės, skenavimas gali ilgokai užtrukti.

Bandymas #2: ARP Man in the Middle (4)

4. Peržiūrime tinkle esančius host'us (Hosts → Hosts list).

Nepasirinkus Target 1 bei Target 2 bus „nuodijamos“ visų įrenginių ARP lentelės.

Bandymas #2: ARP Man in the Middle (5)

5. Pradedame ARP nuodijimą (Mitm → Arp poisoning...).6. Paleidžiame Ettercap sniffer'į (Start → Start sniffing) ir dsniff įrankį.

Bandymas #2: ARP Man in the Middle (6)

Įsitikinimui, kad pavyko „užnuodyti“ kompiuterį ir telefoną, atsidarome Wireshark.

Sugavome telefono (192.168.1.103) Telnet paketus.

Bandymas #2: ARP Man in the Middle (7)

Bei sugavome kompiuterio (192.168.1.109) FTP paketus...

Bandymas #2: ARP Man in the Middle (8)

Pasižiūrime, ką „išuostinėjo“ dsniff :)

Bandymas #2: ARP Man in the Middle (9)

7. Nepamirštame sustabdyti ARP nuodijimo (Mitm → Stop mitm attack(s)).8. Sustabdome Ettercap sniffer'į (Start → Stop sniffing).

Kiti MITM atakų būdai:

ICMP redirection DHCP spoofing Port Stealing

Pastaba: šioms atakoms puikiai tinka programa Ettercap.

VoIP sniffing'as

SIP H323 ISUP MGCP UNISTIM

Sniff'inant galima išgauti ne tik „aukos“ duomenis, bet ir pokalbius, atliktus naudojantis VoIP technologija.

Pokalbių perklausymui naudosime programą Wireshark.

Wireshark palaikomi formatai:

Bandymas #3: VoIP sniffing (1)

Kadangi jau žinome, kaip atlikti sniffing'ą, bandymui pasinaudosime Wireshark wiki pateiktu failu http://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=view&target=SIP_CALL_RTP_G711

1. Wireshark programoje atsidarome pavyzdinį failą.2. Peržiūrime VoIP skambučių sąrašą pasirinkdami Telephony → VoIP Calls.

Bandymas #3: VoIP sniffing (2)

3. Iš sąrašo pasirenkame dominantį įrašą ir spaudžiame mygtuką Player.4. Atsivėrusiame lange paspaudžiame Decode.5. Pasirenkame vieną srautą arba abu ir spaudžiame Play/Groti.

Realaus gyvenimo atvejai

Nuo ARP nuodijimo ir įvairių sniff'inimo būdų neapsaugota labai daug privačių tinklų (tačiau stambesniųjų įmonių tinklai įprastai būna gan gerai apsaugoti).

Daugeliu atvejų sniff'erius nesunku aptikti. Net ir pranešus apie pažeidžiamumą, dauguma žmonių nieko

nekeis, nes:

– norint apsaugoti tinklą reikia tam tikrų žinių;

– naudojant apsaugas pasunkėja naujo įrenginio prijungimas prie tinklo;

– tuo atveju, kai naudojamas WPA2, tinklas gerai apsaugotas nuo „blogiukų“ iš išorės (bet ne nuo „blogiukų“ iš vidaus).

Ką išmokome?

Būdai kaip iš galima apsisaugoti nuo ARP nuodijimo, kurį dažnai naudoja sniff'eriai.

ARP lentelių nuodijimas pasinaudojant arpspoof komanda. Patogus duomenų išgavimas pasinaudojant dsniff įrankiu. Nepatogus, tačiau kai kuriais atvejais geresnis duomenų

išgavimo būdas – pasinaudojimas Wireshark programa. ARP nuodijimas pasinaudojant Ettercap programa. VoIP pokalbių perklausymas pasinaudojant Wireshark.