• Главная
    Главная Страница отображения всех блогов сайта
  • Категории
    Категории Страница отображения списка категорий системы блогов сайта.
  • Теги
    Теги Отображает список тегов, которые были использованы в блоге
  • Блоггеры
    Блоггеры Список лучших блоггеров сайта.
  • Блоги групп
    Блоги групп Страница списка лучших командных блогов.
  • Авторизация
    Войти Login form

Аудит локальной сети. А Вы спите спокойно?

  • Размер шрифта: Больше Меньше
  • Подписаться на обновления

CYROOT inc аудит сети

Рассмотрим пример аудита сети на предмет сбора сведений о структуре, выявлении уязвимости, получения учётных данных пользователей.

На большинстве предприятий организации защиты сетевой инфраструктуры оставляет желать лучшего. Наличие в сети беспроводных точек доступа лишь упрощает проникновение в сеть, стоит только злоумышленнику подключить свой компьютер в свободную розетку, как скорее всего он получит всё необходимое...


CYROOT incИтак, приступим: подключаемся через любой доступный метод (в нашем случае для наглядности методов был произведён брутфорс wifi). Проникновение не стало серьёзной проблемой т.к. пароли в офисах часто ставятся понятные для персонала и относительно легко запоминающиеся, в нашем случае было именно так. После получения сетевого адреса выяснить адреса серверов DHCP и DNS не составляет труда. Следующим шагом было сканирование нужного диапазона сети и выявление компьютера администратора сети. Отметим основные признаки, по которым можно судить, что данный компьютер системного администратора:

  1. Название машины (Admin, root, или похожие по смыслу);
  2. Использование Linux в качестве операционной системы;
  3. Использование красивых ip-адресов (172.16.100.100 10.10.10.10 и т.д.);
  4. Характерные открытые порты.

В данном случае быстрый осмотр имён компьютеров не дал желаемого результата: в сети было много машин на основе разных платформ, насколько подсетей. Тем не менее, компьютер администратора сети был выявлен Lesno-v. Выяснилось это при помощи утилиты сканера портов Nmap. Согласитесь что у обычного пользователя не будут открыты ssh, vnc, web-vnc, webmin, rdp, и что самое подозрительное это порт 5190 :). Узнав адрес машины 192.168.0.6 начинаем прослушку пакетов. Для данной цели была использована атака MitM (Man in the Middle) Для реализации такой атаки необходим так называемый ARP-spoofing. Суть его в следующем:

Когда админ лезет почитать руборд, его компьютер кричит на всю сеть — кто тут знает, в какой стороне руборд? Обычно шлюз отвечает "я знаю". Суть ARP-spoofing в том, что компьютер злоумышленника тоже начинает отвечать, что он знает где руборд и компьютер админа ему верит. В итоге все пакеты админа идут через компьютер атакующего на шлюз и дальше в интернет. По такой же цепочке пакеты возвращаются к компу админа. Соответственно все учетные данные в открытом или шифрованном виде проходят через атакующий компьютер. Кстати, это одна из самых популярных атак в банковских сетях. Итак посмотрим сто получится... запускаем backtrack. Идем в меню, находим утилиту Ettercap и запускаем ее. В меню утилиты выбираем Unified sniffing и указываем наш сетевой интерфейс (обычно eth0 или eth1).После чего указываем, какой компьютер атаковать (Select target). Указываем ip адрес вот так /192.168.0.6/ . Если нужен диапазон, то вот так /192.168.0.2-16/ Выбираем в меню Start Sniffing, теперь сканируем хосты с помощью меню Scan for hosts. Выбираем тип атаки ARP poisoning. После чего в появившемся окне ставим флажок sniff remote connections и нажимаем Start mitm attack. Открываем список соединеий (Connections) И ждем. Как только админ отправит учетные данные на подключение к чему либо, мы сразу это увидим.

CYROOT inc IT аудит

После непродолжительного ожидания мы выявили необходимы нам данные. Админ решил зайти на mail.ru и судя по названию на корпоративную почту. Как видите, после проникновения в сеть получение критичных к распространению данных — лишь вопрос времени. Давайте рассмотрим плюсы и минусы такой атаки и методы защиты.

Плюсы:
  1. Работает практически всегда, не зависит от типа ОС;
  2. Если подменить сертификат можно получить данные из SSL трафика;
  3. Не зашифрованные данные ловятся моментально;
  4. Некоторые зашифрованные протоколы можно отловить при обмене ключами, например, протокол управления удалённым рабочим столом RDP.
Минусы:
  1. Позволяет прослушивать сеть до первого роутера. У роутера свои ARP-таблицы и проскочить через него с этим типом атаки в другую подсеть будет очень проблематично, но как правило на предприятиях один роутер;
  2. В случае шифрованных данных показывает hash, который приходится ломать перебором по словарям;
  3. При установленных VPN подключениях вообще ничего не показывает. Так и должно быть.

Все действия были проведены с предварительного разрешения управляющей компании. Не применяйте данный метод у себя в локальной сети, администраторы Вашей сети могут быть подготовлены к таким действиям и успеют разогреть паяльник до того как поднимутся к Вам в кабинет :)

Теперь о главном — меры предосторожности:

  1. Шифрование данным асимметричными ключами, передача и обмен ключами только по надёжным каналам;
  2. Обязательное использование фаерволлов на клиентских компьютерах;
  3. Пристальное внимание к централизованному управлению политиками безопасности;
  4. Использование VPN каналов.

CYROOT inc

 


в разделе: Публикации Просмотров: 5115
0
  • Никаких комментариев пока не было создано. Будьте первым комментатором.

Оставить комментарий

Гость
Гость Четверг, 22 Февраль 2018