Radar w Ethernecie Lokalizowanie hostów w sieci LAN Paweł Pokrywka

Prezentacja na temat: "Radar w Ethernecie Lokalizowanie hostów w sieci LAN Paweł Pokrywka"— Zapis prezentacji:

1 Radar w Ethernecie Lokalizowanie hostów w sieci LAN Paweł Pokrywka
Tadaaaaaaaaa...... (Dalo)

2 Idea Traceroute w L3 dekrementacja pole TTL nagłówka IP
ICMP Time Exceeded, gdy TTL == 0 lokalizowanie hosta/routera z dokładnością do routera Traceroute w L2? odpowiednik routera – switch nie ma odpowiednika TTL przełączniki nie modyfikują ramek

3 A gdyby się udało? Lokalizowanie intruza cennych zasobów
Tworzenie mapy sieci LAN dokumentacja sieci audyt przygotowania do ataku

4 Jak to osiągnąć? Zarządzalne przełączniki admin – drogie
napastnik – trzeba uzyskać dostęp Ingerencja w fiz. strukturę sieci kłopotliwe, szczególnie dla napastnika Badanie opóźnień host A bliżej niż B gdy ping A < ping B? Obciążanie fragmentów sieci MAC Spoofing

5 Podstawy: ramka Ethernet
7 B Preambuła Hardware 1 B SFD 6 B Adres docelowy Software 6 B Adres źródłowy 2 B Długość/typ 0,4 B [VLAN] 42, B Dane [Dopełnienie] 4 B FCS ? [Rozszerzenie] Jak rozpoznać koniec ramki?

6 Podstawy: przełączanie 802.1d
Procesy przekazywanie (Forwarding Process) uczenie (Learning Process) Tablica MAC (Filtering Database) pamięć CAM mac - port

7 Podstawy: switch 1/5 Switch 2 1

8 Podstawy: switch 2/5 Switch 2 1

9 Podstawy: switch 3/5 Switch 2 1

10 Podstawy: switch 4/5 Switch 2 1

11 Podstawy: switch 5/5 Switch 2 2 1

12 Rozpoznawanie struktury sieci
1 2 3

13 Rozpoznawanie struktury sieci
1 2 Kontrolowane hosty 3

14 Rozpoznawanie struktury sieci
Ramka zawierająca nieprawidłowy pakiet, np. truncated IP 1 Wysyłam ramkę do 2 podszywając się pod 1 (niah, niah!) Adres docelowy Adres źródłowy Typ = IP 2 kolory UWAGA: Ważny krok, powtarzany w każdym następnym przykładzie! 0: 1 > 2 3

15 Rozpoznawanie struktury sieci
1 1 2 0: 1 > 2 3

16 Rozpoznawanie struktury sieci
1 1 1 2 0: 1 > 2 3

17 Rozpoznawanie struktury sieci
Dostałem ramkę od 1 zawierającą nieprawidłowy pakiet IP - ignoruje 1 1 1 1 2 0: 1 > 2 3

18 Rozpoznawanie struktury sieci
1 1 1 1 2 3

19 Rozpoznawanie struktury sieci
1 1 1 1 2 Wysyłam ramkę do 1 3: 3 > 1 3

20 Rozpoznawanie struktury sieci
1 Wiem gdzie jest 1! Nie muszę floodować ramki na wszystkie porty! 1 1 1 2 ? 3: 3 > 1 3

21 Rozpoznawanie struktury sieci
1 1 1 1 2 3: 3 > 1 3

22 Rozpoznawanie struktury sieci
1 Gdzie moja ramka? Hm? Dostałem ramkę adresowaną do 1 1 1 1 2 3: 3 > 1 3

23 Rozpoznawanie struktury sieci 2
1 2 3

24 Rozpoznawanie struktury sieci 2
1 Wysyłam ramkę do 2 podszywając się pod 1 Dostałem ramkę od 1 2 3 1 1 1 0: 1 > 2

25 Rozpoznawanie struktury sieci 2
1 Dostałem ramkę od 3 Wysyłam ramkę do 1 2 3 1 1 Hm? Tym razem nie dostałem ramki adresowanej do 1 1 3: 3 > 1

26 Interpretacja wyników
1 Można rozróżnić dwa ułożenia Powtarzanie testów dla różnych kombinacji = mapa sieci Wady trzeba kontrolować aż dwa hosty dla jednego testu aby zmapować sieć trzeba kontrolować (prawie) wszystkie hosty! 2 3 1 2 3

27 Demonstracja: Etherbat
Administrator zna układ przełączników ale nie wie do którego podłączony jest “chaker”

28 Demonstracja: Etherbat
Administrator zna układ przełączników ale nie wie do którego podłączony jest “chaker”

29 Przypomnienie sieci z przykładu
1 2 3 Hosty 0 i 3 muszą być pod kontrolą badacza

30 Wyślij ramkę, ale nie do mnie, tylko do kogoś innego!
Pomysł Wyślij ramkę, ale nie do mnie, tylko do kogoś innego! Czy można poprosić 3 o wysłanie ramki do 1 MAC spoofing, SA=3? niweluje skuteczność testu jeśli jest to możliwe bez MAC spoofingu to nie trzeba kontrolować 3 test się upraszcza! Hm... 3 ? 1

31 Pakiet ARP Komunikat do wszystkich: Kto ma adres IP=X?
Odpowiedź hosta X: Ja mam ten adres, mój MAC to xx:xx:xx 2 B Typ warstwy fizycznej = Ethernet 2 B Typ protokołu wyższej warstwy = IP 1 B Długość adresu sprzętowego = 6 1 B Dług. protokołu wyższej warstwy = 4 2 B Kod operacji = Request, Reply 6 B Adres sprzętowy źródła (adres MAC) 4 B Adres źródłowy wyższej warstwy (adres IP) 6 B Adres sprzętowy przeznaczenia (adres MAC) 4 B Adres docelowy wyższej warstwy (adres IP)

32 Adres sprzętowy źródła
Ramka z pakietem ARP 6 B Adres docelowy 6 B Adres źródłowy 2 B Długość/typ = ARP 2 B Typ warstwy fizycznej = Ethernet 2 B Typ protokołu wyższej warstwy = IP 1 B Długość adresu sprzętowego = 6 1 B Dług. protokołu wyższej warstwy = 4 2 B Kod operacji = Request, Reply 6 B Adres sprzętowy źródła ! 4 B Adres źródłowy wyższej warstwy 6 B Adres sprzętowy przeznaczenia 4 B Adres docelowy wyższej warstwy

33 Asymetryczny ARP Request
Adres źródłowy ramki != adres źródłowy podany w nagłówku ARP Odpowiedź jest wysyłana na adres z nagłówka ARP, a nie na adres źródłowy ramki! “DoS” ze zrzuceniem odpowiedzialności na inny host

34 Rozpoznawanie struktury sieci 3
1 2 Kontrolowany host 3

35 Rozpoznawanie struktury sieci 3
1 Wysyłam ramkę do 2 podszywając się pod 1 Dostałem ramkę od 1 1 1 1 2 0: 1 > 2 3

36 Rozpoznawanie struktury sieci 3
1 Proszę 3 o wysłanie ramki do 1 1 1 1 2 Dostałem ARP Request o mój adres IP 0: 0 > 3 arp src = 1 3

37 Rozpoznawanie struktury sieci 3
1 Dostałem ramkę adresowaną do 1 1 1 1 2 Wysyłam ARP Reply na adres z nagłówka ARP czyli do 1 3: 3 > 1 3

38 Ciągle pozostaje wymaganie aż trzech hostów
Problem Ciągle pozostaje wymaganie aż trzech hostów

39 Rozpoznawanie struktury sieci 4
1 Sieć uproszczona dla czytelności 2 Kontrolowany host Host 3 usunięty z testu 3

40 Rozpoznawanie struktury sieci 4
1 2 Kontrolowany host

41 Rozpoznawanie struktury sieci 4
1 Dostałem ramkę od 1 Wysyłam ramkę do 2 podszywając się pod 1 1 1 1 2 0: 1 > 2

42 Rozpoznawanie struktury sieci 4
1 Proszę 1 o wysłanie ramki do 1 Dostałem ARP Request o mój IP 1 1 1 2 ! 0: 0 > broadcast arp src = 1

43 Rozpoznawanie struktury sieci 4
1 Wysyłam ARP Reply na adres 1 1 1 1 2 Host 1 wysłał ramkę na adres przypisany do portu z którego przyszła ramka – nie przekazuję dalej! 1: 1 > 1

44 Rozpoznawanie struktury sieci 4
1 Nowa trasa do hosta 1 1 1 1 1 2

45 Rozpoznawanie struktury sieci 4
1 Dostałem ARP Request o mój IP Proszę 2 o wysłanie ramki do 1 1 1 1 2 0: 0 > 2 arp src = 1

46 Rozpoznawanie struktury sieci 4
1 Wysyłam ARP Reply na adres 1 1 Dostałem ramkę od 2 1 1 2 Nie otrzymałem ramki adresowanej do 1 Czyli host 1 znajduje się na trasie 0-2 2: 2 > 1

47 Etherbat 3 testy podstawowe A1, A2 – różnica w kolejności hostów B1
Test pomocniczy B2 – wykrywanie błędów 23 = 8 wykrywanych konfiguracji

48 Problemy: kiedy wynik jest fałszywy?
Symetryczny ARP? “Cichy host” (w przykładach host 2) transmituje dane niektóre transmisje wykrywane przed podsłuch powtarzanie testów komunikat “jabber” -> kilka konfiguracji hostów testy B gwarantują wykrycie jabberu Filtrowanie (port-security itp.) większość przypadków wykrywana Duplikaty część można wykryć (nie w tej wersji) Straty w sieci – ginące ramki Praktycznie nie do wykrycia Switche i “switche”

49 Switche i “switche” Pierwsza ramka SA=DA
kolejność procesów uczenia i przekazywania Ramki DA=PAUSE zapamiętywanie adresu SA przekazywanie Odporność Etherbata

50 Switche i “switche” Specyfikacje układów stosowanych w switchach informują o spełnianiu standardu 802.3 Te same układy nie zapamiętują adresu źródłowego ramek PAUSE , section 1, 1.4 Definitions: (...) switch: A layer 2 interconnection device that conforms to the (...) D Syn: bridge. 802.1D-1998, Annex A, A.6 Relay and filtering of frames: Mandatory: Are correctly received frames submitted to the Learning Process? Wynik: urządzenie które nie zapamiętuje adresu źródłowego ramek PAUSE nie jest switchem w rozumieniu standardu 802.3

51 Tryb optimistic Czasami wykrywane jest wiele konfiguracji etherbat -o
Wybór najbardziej prawdopodobnej

52 Jak nie dać się zlokalizować?
Zabezpieczenie sieci przed MAC spoofingiem Generowanie ruchu najlepiej broadcasty, propagują się wszędzie, uczą wszystkie switche małe ramki, często Blaster na wszystkich komputerach niestety dostepny tylko pod Windows ;-) Modyfikować/filtrować ARP arptables

53 Etherbat: dalsze pomysły
Tryb batch aplikacja GUI do wizualizacji Tryby pracy jeden host - dokładny fingerprinting trasy od A do B trzy hosty (może lepsze wyniki przy dziwnych switchach) Wydajność przy dużym pps możliwość uruchamiania etherbata na gateway'u Optymalizacja testów teraz – dokładność wyników jak najmniej ramek

54 Etherbat: dalsze pomysły
Rozszerzenie narzędzia o inne protokoły Każdy “asymetryczny” protokół da się wykorzystać! IPv6 IPX ARP+L3/4 (np. IP/ICMP, IP/TCP syn/rst) inne?

55 Reklama: Ispara Storm Guard
Eliminacja negatywnych zjawisk w sieci LAN ataki DoS/DDoS wirusy spam Kwarantanna zainfekowanych hostów ruch komputera nie dostaje się do Ethernetu! nie wymaga zarządzalnych urządzeń Sprzętowa akceleracja przetwarzania pakietów 100mbit, pps, opóźnienia ~ 0 Więcej informacji:

56 Dziękuję za uwagę. Paweł Pokrywka http://www.cryptonix.org Ispara
Storm Guard