Рисунок 2.1 –Схема проведения атаки MAC spoofing
Ниже представлена процедура реализация угрозы.
Для изменения MAC-адреса сетевого интерфейса на устройстве злоумышленника необходимо для начала отключить сетевой интерфейс. Данное действие можно осуществить через ниже приведенную команду.
root@kali:~# ifconfig eth0 down
Синтаксис команды:
ifconfig - команда для изменения настроек параметров сетевого адаптера;
eth0 – имя интерфейса;
down – пометить интерфейс, как отключенный.
Затем необходимо выполнить команду по изменению MAC-адреса хоста злоумышленника, которая приведена ниже.
root@kali:~# macchanger –r eth0
Синтаксис команды:
macchanger - команда для изменения MAC-адреса;
-r – новый MAC-адрес выбирается случайным образом;
eth0 – имя интерфейса.
И, наконец, необходимо включить интерфейс eth0. Данное действие производится также через команду ifconfig.
root@kali:~# ifconfig eth0 up
На рисунке 2.2 представлен ход атаки и результат атаки. В соответствии с поставленной целью можно утверждать, что цель эксперимента была полностью выполнена.
Рисунок 2.2 – Реализация атаки MAC spoofing
Теперь необходимо настроить метод защиты от угрозы MAC spoofing. Самым простым методом защиты от угрозы MAC spoofing является статические записи в таблицы коммутации.
На рисунке 2.3 представлена схема защиты от угрозы MAC spoofing.
Рисунок 2.3 – Схема защиты от угрозы MAC spoofing
Схема защиты очень проста. В режиме глобального конфигурирования необходимо создать статическую запись соответствия MAC-адреса устройства легитимного пользователя и номера порта, к которому это устройство подключено.
console(config) # mac address-table static 0800.27ed.7384 gi 1/0/15 permanent
Данная запись соответствия показывает, что устройство с данным MAC-адресом может быть подключено только к порту gi 1/0/15. Также необходимо запретить обучение изучение MAC-адресов.
console(config) # no mac address-table learning vlan 1
Теперь устройство злоумышленника не сможет передавать пакеты по локальной сети.
2.2 Разработка модели угрозы ARP spoofing и методов защиты
Цель угрозы ARP spoofing – сканирование данных, передаваемых между атакуемыми устройствами с целью перехвата, изменения данных или прерывания сеансов передачи.
На рисунке 2.4 представлена схема проведения эксперимента. В схеме присутствуют коммутатор MES3124F, легитимный пользователь, который будет направлять ping-запрос к коммутатору и устройство злоумышленника.
Рисунок 2.4 – Схема проведения эксперимента
Для реализации угрозы ARP spoofing используется свободно распространяемая программа Cain&Abel. Cain&Abel - это инструмент для восстановления пароля для операционных систем Microsoft. Он позволяет легко восстанавливать различные типы паролей, сканируя сеть, взламывая зашифрованные пароли, используя атаки из словаря, грубой силы и криптоанализа, записывая VoIP-разговоры, расшифровывая скремблированные пароли, восстанавливая ключи беспроводной сети, открывая пароли, открывая кэшированные пароли и анализируя маршрутизацию протоколов. Cain&Abel охватывает некоторые аспекты / недостатки безопасности, присутствующие в стандартах протокола, методы аутентификации и механизмы кеширования; Основная цель Cain&Abel - упрощенное восстановление паролей и учетных данных из различных источников [11].
На рисунке 2.5 представлено главное меню программы Cain&Abel.
Рисунок 2.5 – Главное меню программы Cain&Abel
Для начала работы необходимо перейти во вкладку Sniffer и выбрать сетевой адаптер из списка доступных для работы в пункте главного меню Configure (рисунок 2.6).
Рисунок 2.6 – Список доступных сетевых адаптеров
Для старта сканирования сети необходимо нажать кнопку Start/Stop ARP (рисунок 2.7).
Рисунок 2.7 – Старт сканирования сети
В окне MAC Address Scanner возможен выбор диапазона адресов для сканирования или сканирования всех хостов сети (рисунок 2.8).
Рисунок 2.8 – Параметры сканирования
При нажатии OK программа начинает опрашивать сеть о наличии хостов с адресами согласно адресации сканируемой сети. Данный процесс можно пронаблюдать при помощи любого сниффера пакетов, например, с помощью Wireshark (рисунок 2.9).
Рисунок 2.9 – Отслеживание опроса сети с помощью программы Wireshark
В результате сканирования во вкладке Sniffer / Hosts будут отображены все устройства, находящиеся в сети (рисунок 2.10).
Рисунок 2.10 – Результат сканирования сети
Итак, в сети присутствуют два устройства, помимо устройства злоумышленника. Для начала атаки ARP spoofing необходимо перейти в подвкладку ARP, нажать кнопку Add to list, отметить в окне New ARP Poison Routing оба хоста и дать старт ARP spoofing (рисунок 2.11).
Рисунок 2.11– Пометка хостов, которые будут атакованы
В результате атаки все пакеты, отправленные от хоста с адресом 192.168.1.16 в сторону коммутатора с адресом 192.168.1.2, и пакеты, отправленные от коммутатора к хосту, будут видны злоумышленнику (рисунок 2.12). Атаку можно считать успешной.
Рисунок 2.12 – Перехват пакетов в результате атаки
В списке встроенного программного обеспечения для защиты от атак коммутатора MES3124F присутствует функция ARP Inspection. Данная функция предназначена для защиты от атак с использованием протокола ARP. Контроль протокола ARP осуществляется на основе статических соответствий IP- и MAC-адресов для группы VLAN.
На рисунке 2.13 схема защиты от угрозы ARP spoofing.
Рисунок 2.13 - Схема защиты от угрозы ARP spoofing
Создадим список статических ARP соответствий и укажем в списке MAC- и IP-адреса коммутатора и двух виртуальных машин.
console# configureterminal
console(config)# ip arp inspection list create stat
console(config-arp-list)# ip 192.168.2.1 mac a8f9.4b7b.ca00
console(config-arp-list)# ip 192.168.2.102 mac 0800.27ed.7384
console(config-arp-list)# ip 192.168.2.103 mac 0800.274c.e2ba
На рисунке 2.14 представлен список статических соответствий MAC- и IP-адресов на коммутаторе MES3124F.
Рисунок 2.14 – Статическая ARP-таблица коммутатора MES3124F
Данная функция не смогла отразить атаку ARP spoofing, однако адрес хоста злоумышленника смог увидеть атакуемый хост в режиме терминала при отправке ping-запросов. На рисунке 2.15 можно увидеть, что пакеты, направляемые с виртуальной машины №1 к коммутатору с адресом, проходят через устройство злоумышленника.
Рисунок 2.15 – Отправка ping-запросов с виртуальной машины №1 на коммутатор
2.3 Разработка модели угрозы переполнения CAM таблицы и методов защиты
Целью угрозы переполнения таблица коммутации является заполнение таблицы коммутации фиктивными MAC адресами для исчерпания ресурсов для изучения новых MAC-адресов и перевод коммутатора в режим хаба.
Схема проведения эксперимента представлена на рисунке 2.16. В схеме присутствуют следующие устройства: коммутатор MES3124F, виртуальные машины №1 и №2, устройство злоумышленника.
Рисунок 2.16 – Схема проведения эксперимента
Для реализации угрозы переполнения таблицы коммутации будет использоваться инструмент macof из утилиты dsniff. Утилита dsniff представляет собой совокупность бесплатных инструментальных средств, которые первоначально были написаны для тестирования сети и возможностей проникновения в нее, но они могут использоваться и в неправедных целях для прослушивания и похищения чужой информации.Инструмент macof заполняет локальную сеть случайными воображаемыми MAC-адресами в надежде, что коммутатор перестанет срабатывать, как полагается, и начнет действовать подобно хабу, позволяя инструменту dsniff действовать более успешно в сетевом окружении коммутатора. Возможно выполнение macof без опций, чтобы сгенерировать случайный TCP/IP-трафик со случайными MAC-адресами, или возможно определение типа трафика, используя флаги командной строки. Злоумышленник может контролировать используемый сетевой интерфейс ( -i ), IP-адрес отправителя и получателя ( -s и -d ), порты отправителя и получателя ( -x и -y ), единственный аппаратный адрес назначения ( -e ) и число выдуманных пакетов для пересылки ( -n ) [12].
Для начала атаки достаточно ввести команду macof в root-режиме или через sudo.
alyona@Alena:~$ sudo macof
На рисунке 2.17 представлен ход работы команды, можно заметить, что за достаточно короткое время инструмент способен сгенерировать очень большое количество ложных MAC-адресов.
Рисунок 2.17 – Выполнение команды macof
До начала атаки таблица коммутации коммутатора содержала 4 MAC-адреса (рисунок 2.18), после начала выполнения в таблице появилось большое количество динамических MAC-адресов с порта gi1/0/15 (рисунок 2.19). Атаку можно считать успешной.
Рисунок 2.18 – Таблица коммутации до начала атаки
Рисунок 2.19 – Таблица коммутации после атаки
В списке встроенного программного обеспечения для защиты от атак коммутатора MES3124F присутствует функция обеспечения защиты портов. В коммутаторе MES3124F возможно настроить любой порт так, чтобы доступ к коммутатору через порт предоставлялся только определенным устройствам. Функция обеспечения защиты портов основана на определении разрешенных MAC-адресов. MAC-адреса могут быть изучены коммутатором или настроены вручную. Существует ограничение на максимальное количество MAC-адресов, которые может изучить порт, использующий функцию обеспечения защиты портов – 128 адресов на порт [13].
Схема защиты коммутатора от угрозы переполнения CAM-таблицы представлена на рисунке 2.20. В схеме присутствуют следующие устройства: коммутатор MES3124F, виртуальная машина №1 и устройство злоумышленника.
Рисунок 2.20 – Схема организации защиты от угрозы переполнения CAM-таблицы
Для начала необходимо включить функцию обеспечения защиты портов на используемых портах (GigabitEthernet 1/0/15 и GigabitEthernet 1/0/16). Устанавливаем ограничение на изучение портов – 5. Также задаем режим ограничения изучения MAC-адресов для интерфейсов – mac-addresses (при данном режиме разрешено повторное изучение и старение MAC-адресов).
console# configure terminal
console(config)# interface gigabitethernet 1/0/15
console(config-if)# port security max 5
console(config-if)# port security mode mac-addresses
console(config-if)# port security
console(config-if)# exit
console(config)# interface gigabitethernet 1/0/16
console(config-if)# port security max 5
console(config-if)# port security mode mac-addresses
console(config-if)# port security
console(config-if)# exit
Также в режиме командной строки режима глобального конфигурирования настраиваем время хранения MAC-адресов в таблице глобально. По умолчанию время хранения равно 300 секундам.Установим время хранения MAC-адресов в таблице коммутации, равным 60 секундам.
console(config)# mac address-table aging-time 60
На рисунке 2.21 представлены настройки функции безопасности на портах коммутатора MES3124F. Так как в схеме все устройства подключены только к двум портам коммутатора, то и настройка функции PortSecurityпроизводится только на двух портах. Иначе необходимо производить настройку на каждом порту коммутатора.
Рисунок 2.21 – Настройка функции PortSecurityна портах
На рисунке 2.22 представлена CAM таблица во время атаки переполнения CAM таблицы. Функция Port Security не позволила заполнить таблицу коммутации ложными MAC-адресами. Также данная функция предотвращает действие угрозы DHCP Starvation (данная угроза описана в пункте 2.4).
Рисунок 2.22 – Таблица коммутации при активированной функции
Port Security
2.4 Разработка модели атаки на DHCP-сервер и методов защиты
Процесс атаки на DHCP-сервер коммутатора будет осуществлен в два этапа – сначала будет осуществлена атака DHCP Starvation, в ходе которой будет использован весь пул адресов, выдаваемых коммутатором, затем будет развернут поддельный DHCP сервер.
Цель угрозы DHCP Starvation – исчерпать пул доступных IP-адресов, выдаваемых DHCP-сервером.
Принцип атаки DHCP Starvation очень прост [14]:
программа запрашивает IP-адрес у DHCP-сервера и получает его;
затем происходит смена MAC-адреса, программа вновь запрашивает следующий IP-адрес, маскируясь под нового клиента;
данная операция продолжает до тех пор, пока весь пул IP-адресов на DHCP сервере не будет исчерпан.
На рисунке 2.23 представлена схема проведения эксперимента. В схеме присутствуют следующие устройства: коммутатор MES3124F, виртуальные машины №1 и №2, устройство злоумышленника. Коммутатор также выступает в роли DHCP-сервера.
Рисунок 2.23 – Схема реализация атак на DHCP-сервер
Для реализации атак на DHCP-сервер в данной работе используется утилита Yersinia. Yersinia - это сетевой инструмент, предназначенный для использования недостатков некоторых сетевых протоколов. При помощи данной утилиты возможны атаки на следующие протоколы [15]:
Spanning Tree Protocol(STP);
Cisco Discovery Protocol (CDP);
Dynamic Trunking Protocol (DTP);
Dynamic Host Configuration Protocol (DHCP);
Hot Stand by Router Protocol (HSRP);
IEEE 802.1Q;
IEEE 802.1X;
Inter-Switch Link Protocol (ISL);
VLAN Trunking Protocol (VTP).
Запускаем утилиту Yersinia через sudo или в root-режиме. Стоит отметить факт, что утилита запустится только при развернутом на всю ширину экрана терминале.
root@kali:~$ sudo yersinia –I
Нарисунке2.24 представлено псевдографическая оболочка утилиты Yersinia.
Рисунок 2.24 – Запуск псевдографической оболочки утилиты Yersinia
После запуска необходимо выбрать интерфейс, на котором будет осуществляться атака, для выбора необходимо нажать i, выбираем интерфейс eth0 (рисунок 2.25).
Рисунок 2.25 – Выбор интерфейса
После выбора интерфейса выбираем протокол для эксплуатации уязвимости, для выбора необходимо нажать g, выбираем DHCP (рисунок 2.26).
|
