|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
4
ОЦЕНКА СЕТИ
Оценивать безопасность служб в системах IoT иногда сложно постольку, поскольку в этих системах часто ис- пользуются новые протоколы,поддерживаемые оченьне- многими инструментами безопасности или не поддержи- ваемые вовсе. Важно узнать, какие инструменты мы можем
использовать и как расширить их возможности (если это в принципе осуществимо).
В этой главе мы начнем с объяснения того, как обойти сегмента- циюсетиипроникнутьвизолированнуюсетьIoT.Затемпокажем,как идентифицироватьустройства IoT и настраиваемые сетевые сервисы по отпечаткус помощью Nmap.Наконец атакуемMessage QueuingTe- lemetry Transport (MQTT), распространенный сетевой протокол IoT. Проделав это,вы узнаете,как писать собственные модули взлома па- рольной аутентификации с помощью Ncrack.
Переход в сеть IoT
Большинство организаций пытается повысить безопасность своих сетей,внедряя стратегии сегментации и сегрегации (разделения) сети.
Эти стратегии отделяют ресурсы с более низкими требованиями кбезопасности ,такиекакустройствавгостевойсети,откритических компонентов инфраструктуры организации, таких как веб-серверы,
Оценка сети 89
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
расположенные в центре обработки данных, и сеть VoIP для органи- |
|
|
|
to |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
df-x chan |
|
o |
|
|||||
зации телефонной связи сотрудников. К критическим компонентам |
. |
.c |
|
||||||||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
может относиться и сеть IoT. Например, компания может исполь- зовать камеры видеонаблюдения и устройства контроля доступа, в частности дверные замки с дистанционным управлением. Чтобы разделить сеть, компания обычно устанавливает файрволы по пери- метру или коммутаторы и маршрутизаторы, разделяющие сеть на несколько зон.
Один из распространенных способов сегментирования сети – ис- пользование виртуальных локальных сетей, которые являются логи- ческимиподмножествамиболеекрупнойобщейфизическойсети.Для связидругсдругомустройствадолжнынаходитьсяводнойVLAN.Лю- бое подключение к устройству, которое принадлежит к другой VLAN, должно проходить через коммутатор уровня 3, устройство, которое объединяет функции коммутатора и маршрутизатора, или просто маршрутизатор. Списки ACL выборочно принимают или отклоняют входящие пакеты с использованием расширенных наборов правил, обеспечивая детальный контроль сетевого трафика.
Но если компания настраивает этиVLAN небезопасно или исполь- зует небезопасные протоколы, злоумышленник может обойти огра- ничения, выполнив атаку с переходом через VLAN. В этом разделе мы рассмотрим эту атаку для доступа к защищенной сети IoT орга- низации.
VLAN и сетевые коммутаторы
Чтобы выполнить атаку на VLAN, вам необходимо понять, как рабо- тают сетевые коммутаторы. На коммутаторе каждый порт настроен либо как порт доступа, либо как магистральный порт (некоторые по- ставщики называют его помеченным или тегированным портом) –
см. рис. 4.1.
КомнатаА |
|
|
|
|
|
Комната B |
|
|
|
|||
|
|
|
VLAN 10 |
Пакет |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Магистральный канал |
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Пакет |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
VLAN |
VLAN |
Пакет |
VLAN |
VLAN |
||||||
10 |
|
|
20 |
|
|
|
10 |
|
20 |
|||
Ноутбук гостя |
Устройство IoT |
Ноутбук гостя |
Устройство IoT |
Pис.4.1.Общая сетевая архитектура с разделенными VLAN для гостевых клиентов и устройств IoT
90 Глава 4
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Когда устройство наподобие IP-камеры подключено к портуwдо- |
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
o |
||||
|
w |
|
|
|
|
|
|
|
|
|
ступа, сеть предполагает, что передаваемые ею пакеты принадлежатdf-x chan |
.c |
|
||||||||
|
. |
|
|
|
|
|
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
определенной VLAN. С другой стороны, когда устройство подключе- но к магистральному порту, оно устанавливает магистральный канал VLAN,тип соединения,который позволяетпакетам любойVLAN про- ходитьчерез него.В основном мы используем магистральные каналы для подключения нескольких коммутаторов и маршрутизаторов.
Для идентификации трафика магистрального канала, принадле- жащего каждой VLAN, коммутатор использует метод идентифика- ции, называемый тегами VLAN. Он помечает пакеты, проходящие по магистральному каналу, тегом, который соответствует идентифика- тору VLAN их порта доступа. Когда пакеты прибывают в коммутатор назначения, коммутатор удаляет тег и использует его для передачи пакетов на правильный порт доступа. Сети могут использовать один из нескольких протоколов для выполнения тегов VLAN, таких как In- ter-SwitchLink(ISL),LANEmulation(LANE)иIEEE802.1Qи802.10(FDDI).
Спуфинг коммутатора
Многие сетевые коммутаторы динамически устанавливают маги- стральные каналы VLAN, используя собственный сетевой протокол
Cisco, называемый протоколом динамического группирования маги-
стралей (Dynamic Trunking Protocol, DTP). DTP позволяет двум под-
ключенным коммутаторам создать магистральный канал,а затем со- гласовать метод тегирования VLAN.
При атаке со спуфингом коммутатора злоумышленники пользуют- ся этим протоколом, притворяясь, что их устройство является сетью коммутатора, и заставляя легальный коммутатор установить маги- стральное соединение с ним (рис.4.2).В результате такой атаки мож- но получить доступ к пакетам, исходящим из любой VLAN на комму- таторе жертвы.
КомнатаА |
|
|
Комната B |
|
|
|
|
|
Магистральный канал |
|
|
Магистральный |
|
|
|
|
|
VLAN |
VLAN |
VLAN |
|||
канал |
|
|
|
|
|
|
10 |
20 |
|
10 |
|
Ноутбук гостя |
Устройство IoT |
Ноутбук гостя |
Рис.4.2.Атака на маршрутизатор по методу подмены
VLAN 20
Устройство IoT
Оценка сети 91
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
Давайте попробуем провести такую атаку. Мы будем отправ- |
|
|
|
to |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
|||||
w |
|
|
df-x chan |
|
|
|
|||||
лять DTP-пакеты, похожие на пакеты от настоящего коммутатора |
|
|
|
o |
|
||||||
|
w |
|
|
|
|
|
|
|
|
||
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
в сети,с помощью инструмента с открытым исходным кодом Yersinia (https://github.com/tomac/yersinia/).YersiniaпредустановленавKaliLinux,
но,есливыиспользуетепоследнююверсиюKali,вамнеобходимосна- чала установить метапакет kali-linux-large, выполнив следующую ко- манду в терминале:
$ sudo apt install kali-linux-large
Обычно мы рекомендуем использовать предыдущий подход вме- сто инструментов ручной компиляции, поскольку мы выявили про- блемы с компиляцией некоторых инструментов в новейших версиях
Kali.
В качестве альтернативы можно попробовать скомпилировать Yersinia, используя следующие команды:
#apt-get install libnet1-dev libgtk2.0-dev libpcap-dev
#tar xvfz yersinia-0.8.2.tar.gz && cd yersinia-0.8.2 && ./autogen.sh
#./configure
#make && make install
Чтобы установить магистральную связь с устройством злоумыш- ленника, откройте графический интерфейс пользователя Yersinia:
#yersinia -G
Винтерфейсе нажмите Launch Attack (Запустить атаку). Затем на вкладке DTP выберите параметр enable trunking (включить тран- кинг), как показано на рис. 4.3.
Рис.4.3.Вкладка Yersinia DTP
92 Глава 4
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Когда вы выбираете этот вариант, Yersinia должна имитировать |
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
коммутатор, который поддерживает протокол DTP, подключатьсяdf-x chan |
.c |
|
||||||||
|
. |
|
|
|
|
|
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
к порту коммутатора жертвы и многократно отправлять пакеты DTP, необходимые для установления магистрального канала с жертвой. Если вы хотите отправить только один необработанный пакет DTP, выберите первый вариант.
После включения транкинга на вкладке DTP вы должны увидеть данные из доступных VLAN на вкладке 802.1Q (рис. 4.4).
Рис.4.4.Вкладка Yersinia 802.1Q
Данные также включают доступные идентификаторы VLAN. Что- бы получить доступ к пакетам VLAN, сначала определите свой сете- вой интерфейс с помощью команды nmcli, которая предустановлена в Kali Linux:
# nmcli
eth1: connected to Wired connection 1 "Realtek RTL8153"
ethernet (r8152), 48:65:EE:16:74:F9, hw, mtu 1500
В этом примере у портативного компьютера злоумышленника есть сетевой интерфейс eth1. Введите следующие команды в терминале
Linux:
#modprobe 8021q
#vconfig add eth1 20
#ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up
СначаламызагружаеммодульядрадляметодатегированияVLAN с помощью команды modprobe, которая предустановлена в Kali Li- nux. Затем создаем новый интерфейс с желаемым идентификато- ром VLAN с помощью команды vconfig, за которой следует пара- метр add, имя нашего сетевого интерфейса и идентификатор VLAN. Команда vconfig предустановлена в Kali Linux и включена в пакет vlan в других дистрибутивах Linux. В нашем случае мы укажем идентификатор VLAN 20, используемый для сети IoT в этом приме- ре, и назначим его сетевому адаптеру на портативном компьютере злоумышленника. Вы также можете выбрать адрес IPv4 с помощью команды ifconfig.
Оценка сети 93