|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
Двойное тегирование |
w Click |
to |
|
|
|
|
m |
||||
|
|
|
|
|
|||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
Как упоминалось ранее, порт доступа отправляет и принимает паке- ты без тега VLAN, потому что предполагается, что эти пакеты при- надлежат определенной VLAN. С другой стороны, пакеты, которые отправляет и принимает магистральный порт, должны быть поме- чены тегом VLAN. Это позволяет проходить пакетам, исходящим из произвольных портов доступа, даже принадлежащих разным VLAN. Ноестьопределенныеисключенияизэтого,взависимостиотисполь- зуемого протокола тегирования VLAN. Например, в протоколе IEEE 802.1Q, если пакет поступает на магистральный порт и не имеет тега VLAN,коммутатор автоматически перенаправитэтотпакетв заранее определенную VLAN, называемую исходной (native) VLAN. Обычно этот пакет имеетVLAN ID 1.
Если идентификатор исходной VLAN принадлежит одному из пор- товдоступаккоммутаторуилизлоумышленникполучилеговрамках атаки с подменой коммутатора, злоумышленник может выполнить атаку с двойным тегированием, как показано на рис. 4.5.
|
|
|
|
|
ТегVLAN 1 удален,пакетпередается |
ТегVLAN 20 удален, |
|||||||
|
|
|
|
|
на магистральный порт,так как |
передача пакета на порт |
|||||||
|
|
|
|
|
он имеетсобственный тегVLAN |
доступа устройства жертвы |
|||||||
|
|
|
|
|
магистрального канала |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
VLAN 20 |
Пакет |
|
|
|
Пакет |
|
|
Двойное тегирование |
|
|
Магистральный канал |
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
Native LAN ==VLAN 1 |
|
VLAN |
|||||
VLAN 10 |
VLAN 20 |
Пакет |
|
|
|
|
|
|
|
20 |
|
|
|
|
|
|
VLAN |
VLAN |
|
|
|
Сервер |
|||||
1 |
20 |
|
|
|
|
|
мониторинга |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
устройства IoT |
|
|
Нарушитель |
|
|
Устройство IoT |
|
|
|
|
|||||
Рис.4.5.Атака с двойным тегированием
Когда пакет, который проходит по магистральному каналу, посту- паетна магистральный порткоммутатора назначения,портназначе- ния удаляет свой тег VLAN, а затем использует этот тег для передачи пакета правильным пользовательским пакетам. Вы можете доба- вить два тега VLAN и обманом заставить коммутатор удалить только внешний.ЕслиэтособственныйтегVLAN,коммутаторпередастпакет с внутреннимтегом в его магистраль,ко второму коммутатору.Когда пакет прибывает на магистральный порт коммутатора назначения, этот коммутатор будет использовать внутренний тег для пересылки пакета на соответствующий порт доступа. Вы можете использовать этот метод для отправки пакетов на устройство, которого иначе не
94 Глава 4
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
смогли бы достичь, – например, сервер мониторинга устройствwIoT, |
|
|
|
|
|
m |
|||||
как показано на рис. 4.5. |
w Click |
|
|
|
|
|
o |
||||
|
w |
|
df-x chan |
|
|
||||||
|
. |
.c |
|
||||||||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
Чтобы выполнить атаку, внешний тег VLAN должен идентифици- ровать собственную VLAN злоумышленника, которая также должна быть исходной VLAN установленной магистрали, тогда как внутрен- ний тег должен идентифицировать VLAN, к которой принадлежит целевое устройство IoT. Мы можем использовать фреймворк Scapy (https://scapy.net/), мощную программу обработки пакетов, написан- ную на Python, для создания пакета с этими двумя тегами VLAN. Вы можете установить Scapy с помощью диспетчера пакетов Python.
# pip install scapy
Следующий код Python отправляет пакет ICMP целевому устрой- ству с IPv4-адресом 192.168.1.10, расположенным в VLAN 20. Мы по- мечаем пакет ICMP двумя идентификаторами VLAN: 1 и 20.
from scapy.all import *
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP() sendp(packet)
Функция Ether() создаетавтоматически сгенерированный каналь- ный уровень. Затем мы создаем два тега VLAN с помощью функции Dot1Q().ФункцияIP() определяетнастраиваемыйсетевойуровеньдля маршрутизации пакета на устройство жертвы. Наконец, мы добавля- ем автоматически сгенерированную полезную нагрузку,содержащую транспортный уровень,который хотимиспользовать(внашем случае ICMP). Ответ ICMP никогда не достигнет устройства злоумышленни- ка,но мы можем проверить успешность атаки,наблюдая за сетевыми пакетами в VLAN жертвы с помощью Wireshark.
Более подробно мы обсудим Wireshark в главе 5.
Имитация устройств VoIP
Большинство корпоративных сетевых сред содержит VLAN для своих голосовых сетей. Несмотря на то что они предназначены для исполь- зования сотрудниками VoIP-телефонов, современные устройств VoIP все чаще интегрируются с устройствами интернета вещей. Многие сотрудники теперь могут открывать двери с помощью специального номера телефона, управлять термостатом в комнате, смотреть пря- мую трансляцию с камер безопасности на экране устройства VoIP, принимать голосовые сообщения по электронной почте и получать уведомления из корпоративного календаря на свои VoIP-телефоны. В этих случаях сеть VoIP выглядит примерно так, как показано на рис. 4.6.
Оценка сети 95
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Термостат
|
|
VLAN |
|
|
|
20 |
VLAN |
|
|
|
|
|
|
|
20 |
VLAN |
|
|
|
гостя |
VLAN |
VLAN |
|
|
VLAN |
||
|
20 |
||
|
20 |
||
|
|
20 |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
Дверной |
|
|
|
|
|
|
|
|
Компьютер |
VoIP |
замок |
|
|
|||
|
|
|
|
гостя |
Имитирует |
|
|
|
VoIP-телефон |
|
|
|
Противник |
|
|
|
подменяеттелефон |
|
|
|
своим устройством |
|
|
Рис.4.6.Устройство VoIP,подключенное к сети IoT
Если VoIP-телефоны могут подключаться к корпоративной сети IoT, злоумышленники могут имитировать устройства VoIP, чтобы по- лучить доступ к этой сети. Чтобы выполнить эту атаку, мы будем ис- пользовать инструмент с открытым исходным кодом под названием
VoIP Hopper (http://voiphopper.sourceforge.net/). VoIP Hopper имитирует поведение VoIP-телефона в средах Cisco, Avaya, Nortel и Alcatel-Lu- cent. Он автоматически обнаруживает правильный идентификатор VLAN для голосовой сети, используя один из поддерживаемых им протоколов обнаружения устройств, например Cisco Discovery Proto- col (CDP), Dynamic Host Configuration Protocol (DHCP), Link Layer Dis- coveryProtocolMediaEndpointDiscovery(LLDP-MED)и802.1QARP.Мы не будем дополнительно исследовать, как работают эти протоколы, потому что их внутренняя работа не имеет отношения к атаке.
VoIP Hopper предустановлен в Kali Linux. Если вы не используете Kali, можете вручную загрузить и установить инструмент с сайта по- ставщика, используя следующие команды:
#tar xvfz voiphopper-2.04.tar.gz && cd voiphopper-2.04
#./configure
#make && make install
Теперь мы будем использовать VoIP Hopper для имитации прото- кола Cisco CDP. CDP позволяет устройствам Cisco обнаруживать дру- гие устройства Cisco поблизости, даже если они используют другие
96 Глава 4
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
|
|
C |
|
E |
|
|
||||
|
|
|
|
X |
|
|
|
|
|
|
|||
|
|
|
- |
|
|
|
|
|
|
d |
|
||
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
|
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
|
to |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
||
протоколы сетевого уровня.В этом примере мы имитируем подклю- |
|
|
|
|
|
m |
|||||||
|
|
w Click |
|
|
|
|
|
|
|
||||
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
ченное устройство Cisco VoIP и назначаем его правильной VLAN, коd-f-x chan |
.c |
|
|||||||||||
|
|
|
. |
|
|
|
|
|
|
|
|||
|
|
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
торая дает нам дополнительный доступ к корпоративной голосовой |
|
|
|
|
|
|
|||||||
сети: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
# voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
VoIP Hopper 2.04 Running in CDP Spoof mode |
|
|
|
|
|
|
|
|
|
|
|
|
|
Sending 1st CDP Spoofed packet on eth1 with CDP packet data: |
|
|
|
|
|
|
|
|
|
|
|
||
Device ID: SEP001EEEEEEEEE; |
Port ID: Port 1; Software: SCCP70.8-3-3SR2S |
|
|
|
|
|
|
|
|
|
|
||
Platform: Cisco IP Phone 7971; |
Capabilities: Host; |
Duplex: 1 |
|
|
|
|
|
|
|
|
|
|
|
Made CDP packet of 125 bytes - Sent CDP packet of 125 bytes |
|
|
|
|
|
|
|
|
|
|
|
||
Discovered VoIP VLAN through CDP: 40 |
|
|
|
|
|
|
|
|
|
|
|
|
|
Sending 2nd CDP Spoofed packet on eth1 with CDP packet data: |
|
|
|
|
|
|
|
|
|
|
|
||
Device ID: SEP001EEEEEEEEE; |
Port ID: Port 1; Software: SCCP70.8-3-3SR2S |
|
|
|
|
|
|
|
|
|
|
||
Platform: Cisco IP Phone 7971; |
Capabilities: Host; |
Duplex: 1 |
|
|
|
|
|
|
|
|
|
|
|
Made CDP packet of 125 bytes - Sent CDP packet of 125 bytes Added VLAN 20 to Interface eth1
Current MAC: 00:1e:1e:1e:1e:90
VoIP Hopper will sleep and then send CDP Packets Attempting dhcp request for new interface eth1.20
VoIP Hopper dhcp client: received IP address for eth1.20: 10.100.10.0
VoIP Hopper поддерживает три режима CDP. Режим сниффинга (отслеживания) проверяет сетевые пакеты и пытается найти иден- тификаторVLAN.Чтобы использоватьего,установитедля параметра -c значение 0.Режим спуфинга (подмены) генерирует пользователь- ские пакеты, аналогичные тем, которые настоящее устройство VoIP передает в корпоративной сети. Чтобы использовать его, установи- те для параметра -c значение 1. Режим спуфинга с предварительно созданным пакетом отправляетте же пакеты,что и IP-телефон Cisco 7971G-GE.Чтобы использоватьего,установитедля параметра -c зна- чение 2.
Мы используем последний метод, потому что это самый быстрый подход. Параметр -i указывает сетевой интерфейс злоумышленни- ка, а параметр –E – имя имитируемого устройства VOIP. Мы выбрали имя SEP001EEEEEEEEE, которое совместимо с форматом именования Cisco для телефонов VoIP. Формат состоит из слова SEP, за которым следует MAC-адрес. В корпоративной среде вы можете имитировать существующее устройство VoIP, посмотрев на этикетку MAC на зад- ней панели телефона, нажав кнопку Настройки и выбрав параметр Информация о модели на экране телефона либо подключив кабель Ethernet устройства VoIP к портативному компьютеру и наблюдая за запросами CDP устройства с помощью Wireshark.
Еслиинструментработаетуспешно,сетьVLANназначитIPv4-адрес устройства злоумышленника. Чтобы убедиться, что атака сработала, можете наблюдать ответ DHCP на это в Wireshark (рис. 4.7). Мы под- робно обсудим использование Wireshark в главе 5.
Теперь мы можем идентифицировать устройства IoT, расположен- ные в этой сети IoT.
Оценка сети 97