Ата­ки на Ethernet в рам­ках пен­теста дают зна­читель­ный импакт, одна­ко при ата­ках на каналь­ном уров­не есть боль­шая веро­ятность оши­бить­ся и нарушить нор­маль­ную работу сети. В этой статье я рас­ска­жу о нюан­сах сбо­ра информа­ции, тех­никах MITM и Ethernet-пивотин­ге.

warning

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

В мае 2022 года я выпус­кал статью под наз­вани­ем Ethernet Abyss, в которой разоб­рал ата­ки на каналь­ный уро­вень. Перед тобой — ее «VIP-ремикс». На этот раз я рас­ска­жу о при­емах сбо­ра информа­ции об обо­рудо­вании без шума в эфи­ре, о том, как про­водить MITM-ата­ки безопас­но, и об осо­бен­ностях Ethernet-тун­нелей при пивотин­ге.

 

Сбор информации

L2 — это каналь­ный уро­вень компь­ютер­ной сети. Тут про­исхо­дит ком­мутация кад­ров, сег­мента­ция сети. Ата­ки каналь­ного уров­ня могут быть очень опас­ными, пос­коль­ку ата­кующий, про­ник­нув в этот сег­мент, спо­собен нанес­ти боль­шой урон. А про­ник­нуть он может либо если его туда пус­тили, либо если он обес­печил себя L2-тун­нелем.

Да­вай погово­рим о нюан­сах сбо­ра информа­ции и о том, какие потен­циаль­ные век­торы атак смо­жет открыть для себя ата­кующий при пер­вичном ана­лизе тра­фика. Даль­ше я буду активно поль­зовать­ся инс­тру­мен­том Above, можешь тоже им обза­вес­тись.

 

Первое подключение

Уже пос­ле под­клю­чения к сетево­му ком­мутато­ру ата­кующий может соз­дать шум в эфи­ре. Нап­ример, авто­мати­чес­ки активный NetworkManager с DHCP. Рекомен­дую не спе­шить с активным DHCP, сде­лай так, что­бы хотя бы интерфейс был в сос­тоянии UP.

Так­же сто­ит заметить, что по DHCP переда­ется имя устрой­ства, которое получи­ло адрес авто­мати­чес­ки. Вся эта информа­ция будет хра­нить­ся на DHCP-сер­вере. Это доволь­но неп­рият­ный рас­клад для пен­тесте­ра, одна­ко переда­чу хос­тней­ма по DHCP мож­но вык­лючить здесь:

sudo nano /etc/NetworkManager/system-connections/Wired\ connection\ 1
[ipv4]
method=auto
dhcp-send-hostname=false
Передача hostname до конфигурации NM
Пе­реда­ча hostname до кон­фигура­ции NM
Спрятанный hostname системы после конфигурации NM
Спря­тан­ный hostname сис­темы пос­ле кон­фигура­ции NM

Та­ким обра­зом мож­но спря­тать имя сис­темы от DHCP-сер­вера, прос­то не переда­вать его через нас­трой­ки NetworkManager.

 

Discovery-протоколы

Discovery-про­токо­лы нуж­ны для обме­на информа­цией меж­ду устрой­ства­ми, одна­ко в боль­шинс­тве слу­чаев сетевые девай­сы нас­тро­ены так, что рас­сылка DP про­исхо­дит абсо­лют­но во все пор­ты ком­мутато­ра, а это сни­жает уро­вень сетевой безопас­ности. Ата­кующий, получив эти кад­ры, смо­жет узнать чувс­тви­тель­ную информа­цию об обо­рудо­вании вро­де вер­сии про­шив­ки, модели устрой­ства, типа адре­сации.

Информация о CDP, полученная с помощью Above
Ин­форма­ция о CDP, получен­ная с помощью Above
 

Обнаружение 802.1Q-тегов

802.1Q — стан­дарт, име­ющий отно­шение к тегиро­ванию ком­мутаци­онных фрей­мов. В кон­тек­сте ком­мутато­ра при раз­биении сети VLAN на сег­менты исполь­зуют­ся два типа пор­тов:

  • Access — порт в режиме дос­тупа, обыч­но он нас­тра­ивает­ся на сто­роне конеч­ных стан­ций, что­бы они име­ли пер­вичный дос­туп к сети;
  • Trunk — при этом режиме про­исхо­дит инкапсу­ляция Ethernet-кад­ров.

Ког­да ата­кующий впер­вые под­клю­чает­ся к ком­мутато­ру, не исклю­чено, что он ока­жет­ся имен­но на Trunk-пор­те, где тегиру­ются фрей­мы. Если дей­стви­тель­но так про­изой­дет, то пен­тестер смо­жет ока­зать­ся во всех VLAN-сег­ментах, к которым под­клю­чен ком­мутатор. Вот при­мер­ные сце­нарии, при которых такое воз­можно:

  • Ра­бота­ющий порт по умол­чанию находит­ся в кон­тек­сте ком­мутато­ра Cisco. Там акти­вен про­токол DTP, при­чем все пор­ты работа­ют в режиме Dynamic Auto. Если ата­кующий сге­нери­рует и отпра­вит в сто­рону такого пор­та кадр DTP Desirable, это при­ведет к тому, что порт ата­кующе­го перек­лючит­ся в транк.
  • Порт ком­мутато­ра для Voice VLAN нас­тро­ен небезо­пас­но. Я встре­чал такие слу­чаи, в которых необ­ходимо было под­клю­чить в раз­рыв и VoIP-телефон, и компь­ютер и при этом порт ком­мутато­ра нас­тра­ивал­ся в режиме Trunk, хотя сто­ило бы гра­мот­но нас­тро­ить VLAN Access для компь­юте­ра и Voice VLAN для телефо­на. Если ата­кующий най­дет такой порт, фак­тичес­ки он уже пробь­ется во все VLAN-сег­менты.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии