Testowanie zabezpieczeń

19 lipca 2010, swamper

Założenia wstępne:

Testowanie zabezpieczeń skonstruowanej sieci opiera się na badaniu parametrów technicznych łącz lokalnych oraz statystyk z urządzeń L2, L3 i serwera. Sieć wykorzystana w projekcie jest częścią realnie działającej sieci produkcyjnej. Jej zabezpieczenie odzwierciedla realny stan. W przypadku przeprowadzania na nią ataków, autor pracy zobowiązał się do niespowodowania szkód wynikających ze swoich działań i przeprowadzi ataki w taki sposób, że mają tylko zasymulować rzeczywistą próbę uszkodzenia systemu. Rozumie się przez to ciągły monitoring podczas prób i reakcję w razie wykrycia zbyt dużego odchylenia od normy w działaniu sieci.

Przeprowadzone zostaną ataki:

  1. próba podszycia się na przełączniku atakiem MAC Spoofing
  2. próba przejęcia przełącznika głównego w protokole STP
  3. próba ograniczenia dostępności atakiem Smurf
  4. próba podsłuchania hasła atakiem ARP Spoofing+IP source-routing+Socjotechnika

System jest monitorowany za pomocą:

  • Lstat – dla ataków na dostępność
  • Syslog – dla ataków wewnętrznych i zbliżeniowych
  • SDEE z poziomu SDM dla sensora IPS

Ad. a. MAC Spoofing:

Do przeprowadzenia ataku MAC Spoofing wykorzystano program MACoffset z pakietu DSniff-2.3.

ATAK:

[root@ozimska ~dsniff-2.3]# ./macof 

101.59.29.36 -> 60.171.137.91 TCP D=55934 S=322 Syn Seq=1210303300 Len=0 Win=512

145.123.46.9 -> 57.11.96.103 TCP D=44686 S=42409 Syn Seq=1106243396 Len=0 Win=52

109.40.136.24 -> 51.158.227.98 TCP D=59038 S=21289 Syn Seq=2039821840 Len=0 Win2

126.121.183.80 -> 151.241.231.59 TCP D=7519 S=34044 Syn Seq=310542747 Len=0 Win2

211.28.168.72 -> 91.247.223.23 TCP D=62807 S=53618 Syn Seq=2084851907 Len=0 Win2

183.159.196.56 -> 133.10.138.87 TCP D=23929 S=51034 Syn Seq=1263121444 Len=0 Wi2

19.113.88.77 -> 16.189.146.61 TCP D=1478 S=56820 Syn Seq=609596358 Len=0 Win=512

237.162.172.114 -> 51.32.8.36   TCP D=38433 S=31784 Syn Seq=410116516 Len=0 Win2

 118.34.90.6 -> 61.169.58.50 TCP D=42232 S=31424 Syn Seq=1070019027 Len=0 Win=52

46.205.246.13 -> 72.165.185.7 TCP D=56224 S=34492 Syn Seq=937536798 Len=0 Win=52

105.109.246.116 -> 252.233.209.72 TCP D=23840 S=45783 Syn Seq=1072699351 Len=0 2

60.244.56.84 -> 142.93.179.59 TCP D=3453 S=4112 Syn Seq=1964543236 Len=0 Win=512

151.126.212.86 -> 106.205.161.66 TCP D=12959 S=42911 Syn Seq=1028677526 Len=0 W2

9.121.248.84 -> 199.35.30.115 TCP D=33377 S=31735 Syn Seq=1395858847 Len=0 Win=2

226.216.132.20 -> 189.89.89.110 TCP D=26975 S=57485 Syn Seq=1783586857 Len=0 Wi2

124.54.134.104 -> 235.83.143.109 TCP D=23135 S=55908 Syn Seq=852982595 Len=0 Wi2

 27.54.72.62 -> 207.73.65.108 TCP D=54512 S=25534 Syn Seq=1571701185 Len=0 Win=2

246.109.199.72 -> 1.131.122.89 TCP D=61311 S=43891 Syn Seq=1443011876 Len=0 Win2

251.49.6.89 -> 18.168.34.97 TCP D=25959 S=956 Syn Seq=6153014 Len=0 Win=512

51.105.154.55 -> 225.89.20.119 TCP D=33931 S=1893 Syn Seq=116924142 Len=0 Win=52

82.2.236.125 -> 210.40.246.122 TCP D=43954 S=49355 Syn Seq=1263650806 Len=0 Win2

21.221.14.15 -> 9.240.58.59  TCP D=61408 S=26921 Syn Seq=464123137 Len=0 Win=512

70.63.102.43 -> 69.88.108.26 TCP D=61968 S=53055 Syn Seq=682544782 Len=0 Win=512

REAKCJA:


Ochrona na atak rozpowszechnianie MAC Spoofing.
Rys. 5.1. Ochrona na atak rozpowszechnianie MAC Spoofing. (Źródło: Opracowanie własne.)

Ad. b. Ataki zbliżeniowe na protokół STP

  • Atak na BPDU przełącznika głównego polega na wpięciu nowego przełącznika do portu stacji roboczej.

REAKCJA:


Ochrona na atak na przejęcie roli przełącznika głównego.
Rys. 5.2. Ochrona na atak na przejęcie roli przełącznika głównego. (Źródło: Opracowanie własne.)

  • Atak na priorytet przełącznika głównego polega na wpięciu nowego przełącznika między dwa inne działające w sieci.

REAKCJA:


Ochrona na atak przejęcie roli przełącznika głównego.
Rys. 5.3. Ochrona na atak przejęcie roli przełącznika głównego. (Źródło: Opracowanie własne.)

Ad. c. Atak Smurf

Atak na ograniczenie dostępności o nazwie Smurf można zrealizować samemu, lub poprzez skompilowany program w języku C, którego kod do własnej kompilacji można znaleźć pod adresem: http://www.rs-labs.com/papers/tacticas/ircutils/smurf.html

ATAK:


Przykład konfiguracji do ataku Smurf.
Rys. 5.4. Przykład konfiguracji do ataku Smurf. (Źródło: http://www.ixiacom.com/.)

REAKCJA:


Reakcja systemu na lawinę pakietów ICMP oraz ich sposób ograniczenia.
Rys. 5.5. Reakcja systemu na lawinę pakietów ICMP oraz ich sposób ograniczenia. (Źródło: Opracowanie własne.)

Ad. d. Atak ARP Spoofing

Z poziomu serwera atak ARP Spoofing powiedzie się zawsze, gdyż serwer kontroluje całym ruchem sieciowym.

ATAK:

[root@ozimska ~linsniff]# ./linsniff -c

linsniff: listening on eth0

-----------------

06/03/09 10:09:48 tcp 192.168.8.4.1126 -> wwwin-apps.interia.pl.80 (http)

GET /SERVICE/Paging/page/ HTTP/1.1

Host: wwwin-apps.interia.pl

Authorization: testownik c2Nvdlgh39UNMRH4lejDmaA== [sconvery:mojehaslo]

REAKCJA:

Jednakże próbując odpalić aplikację linsniff na stacji roboczej będącej między źródłem, a celem wynik skanowania nie zwraca żadnych wartości, gdyż aplikacja linsniff nie potrafi podmienić pakietów GARP, które zostały wyłączone.

Komentarze na statycznych stronach zostały wyłączone. Zapraszamy do komentowania na forum.