Ethernet Abyss VIP. Пентестим Ethernet по всем правилам

Содержание статьи

• Сбор информации
• Первое подключение
• Discovery-протоколы
• Обнаружение 802.1Q-тегов
• LLMNR/NBT-NS Poisoning
• ARP/NBNS-разведка
• Обнаружение динамической маршрутизации
• Обнаружение системы резервирования
• MITM
• Мощность железа
• Разрешение маршрутизации
• Потенциальный Storm Control
• Обход трассировки (TTL Shift)
• Восстановление ARP-таблицы после атаки
• ICMP Redirect
• Конфигурация NAT
• Модуль nf_conntrack для протоколов No NAT Friendly
• Выбор масок подсетей при ARP Spoofing
• Особенность атаки при STP (MITM)
• Ethernet-туннели при пивотинге
• Таблица векторов
• Выводы

Ата­ки на Ethernet в рам­ках пен­теста дают зна­читель­ный импакт, одна­ко при ата­ках на каналь­ном уров­не есть боль­шая веро­ятность оши­бить­ся и нарушить нор­маль­ную работу сети. В этой статье я рас­ска­жу о нюан­сах сбо­ра информа­ции, тех­никах MITM и Ethernet-пивотин­ге.

В мае 2022 года я выпус­кал статью под наз­вани­ем Ethernet Abyss, в которой разоб­рал ата­ки на каналь­ный уро­вень. Перед тобой — ее «VIP-ремикс». На этот раз я рас­ска­жу о при­емах сбо­ра информа­ции об обо­рудо­вании без шума в эфи­ре, о том, как про­водить MITM-ата­ки безопас­но, и об осо­бен­ностях Ethernet-тун­нелей при пивотин­ге.

Сбор информации

L2 — это каналь­ный уро­вень компь­ютер­ной сети. Тут про­исхо­дит ком­мутация кад­ров, сег­мента­ция сети. Ата­ки каналь­ного уров­ня могут быть очень опас­ными, пос­коль­ку ата­кующий, про­ник­нув в этот сег­мент, спо­собен нанес­ти боль­шой урон. А про­ник­нуть он может либо если его туда пус­тили, либо если он обес­печил себя L2-тун­нелем.

Да­вай погово­рим о нюан­сах сбо­ра информа­ции и о том, какие потен­циаль­ные век­торы атак смо­жет открыть для себя ата­кующий при пер­вичном ана­лизе тра­фика. Даль­ше я буду активно поль­зовать­ся инс­тру­мен­том Above, можешь тоже им обза­вес­тись.

Первое подключение

Уже пос­ле под­клю­чения к сетево­му ком­мутато­ру ата­кующий может соз­дать шум в эфи­ре. Нап­ример, авто­мати­чес­ки активный NetworkManager с DHCP. Рекомен­дую не спе­шить с активным DHCP, сде­лай так, что­бы хотя бы интерфейс был в сос­тоянии UP.

Так­же сто­ит заметить, что по DHCP переда­ется имя устрой­ства, которое получи­ло адрес авто­мати­чес­ки. Вся эта информа­ция будет хра­нить­ся на DHCP-сер­вере. Это доволь­но неп­рият­ный рас­клад для пен­тесте­ра, одна­ко переда­чу хос­тней­ма по DHCP мож­но вык­лючить в кон­фигура­цион­ном фай­ле dhcpd.conf:

sudo nano /etc/NetworkManager/system-connections/Wired connection 1 [ipv4] method=auto dhcp-send-hostname=false

Пе­реда­ча hostname до кон­фигура­ции NM

Спря­тан­ный hostname сис­темы пос­ле кон­фигура­ции NM

Та­ким обра­зом мож­но спря­тать имя сис­темы от DHCP-сер­вера, прос­то не переда­вать его через нас­трой­ки NetworkManager.

Discovery-протоколы

Discovery-про­токо­лы нуж­ны для обме­на информа­цией меж­ду устрой­ства­ми, одна­ко в боль­шинс­тве слу­чаев сетевые девай­сы нас­тро­ены так, что рас­сылка DP про­исхо­дит абсо­лют­но во все пор­ты ком­мутато­ра, а это сни­жает уро­вень сетевой безопас­ности. Ата­кующий, получив эти кад­ры, смо­жет узнать чувс­тви­тель­ную информа­цию об обо­рудо­вании вро­де вер­сии про­шив­ки, модели устрой­ства, типа адре­сации.

Ин­форма­ция о CDP, получен­ная с помощью Above 

Обнаружение 802.1Q-тегов

802.1Q — стан­дарт, име­ющий отно­шение к тегиро­ванию ком­мутаци­онных фрей­мов. В кон­тек­сте ком­мутато­ра при раз­биении сети VLAN на сег­менты исполь­зуют­ся два типа пор­тов:

• Access — порт в режиме дос­тупа, обыч­но он нас­тра­ивает­ся на сто­роне конеч­ных стан­ций, что­бы они име­ли пер­вичный дос­туп к сети;
• Trunk — при этом режиме про­исхо­дит инкапсу­ляция Ethernet-кад­ров.

Ког­да ата­кующий впер­вые под­клю­чает­ся к ком­мутато­ру, не исклю­чено, что он ока­жет­ся имен­но на Trunk-пор­те, где тегиру­ются фрей­мы. Если дей­стви­тель­но так про­изой­дет, то пен­тестер смо­жет ока­зать­ся во всех VLAN-сег­ментах, к которым под­клю­чен ком­мутатор. Вот при­мер­ные сце­нарии, при которых такое воз­можно:

• Ра­бота­ющий порт по умол­чанию находит­ся в кон­тек­сте ком­мутато­ра Cisco. Там акти­вен про­токол DTP, при­чем все пор­ты работа­ют в режиме Dynamic Auto. Если ата­кующий сге­нери­рует и отпра­вит в сто­рону такого пор­та кадр DTP Desirable, это при­ведет к тому, что порт ата­кующе­го перек­лючит­ся в транк.
• Порт ком­мутато­ра для Voice VLAN нас­тро­ен небезо­пас­но. Я встре­чал такие слу­чаи, в которых необ­ходимо было под­клю­чить в раз­рыв и VoIP-телефон, и компь­ютер и при этом порт ком­мутато­ра нас­тра­ивал­ся в режиме Trunk, хотя сто­ило бы гра­мот­но нас­тро­ить VLAN Access для компь­юте­ра и Voice VLAN для телефо­на. Если ата­кующий най­дет такой порт, фак­тичес­ки он уже пробь­ется во все VLAN-сег­менты.

Источник: xakep.ru