Акула в сети

Один из моих любимых игровых трейлеров начинается примерно так: «Когда-то давно древние ацтеки верили, что боги не просто подарили людям жизнь, но её пришлось украсть. Прометей украл огонь, а Альберих стащил кольцо».

Я ни на что не намекаю, но история эта стара как мир, и поговорим мы сегодня про воровство. А воровать мы будем сетевой трафик. И, конечно же, не воровать, а перехватывать =)

wire_01

Перехват трафика нечасто попадает в сферу интересов специалиста по информационной безопасности, но, как я считаю, весьма незаслуженно по ряду причин, которые мы сегодня разберем. Основным нашим инструментом сегодня станет Wireshark – бесплатный перехватчик и анализатор трафика. Он существует уже с 1999 года и успел стать стандартом в своей области.

Установка не должна вызвать каких-либо проблем, а если вы используете какой-то специализированный дистрибутив вроде Kali, то велика вероятность, что он уже установлен и настроен.

Итак, что мы умеем? Для начала мы можем просто включить перехват трафика и посмотреть, что вообще происходит в нашей сети.

wire_02

Уже неплохо. Мы видим, как Wireshark собрал сетевые пакеты и разобрал их. Мы уже можем приступить к анализу, но в реальной жизни это почти невозможно из-за количества собранных данных. К счастью, в Wireshark встроена система фильтров, которая позволит отсеять ненужный трафик, если мы ищем что-то конкретно. Например, можно выбрать только HTTP-трафик, или трафик с определенного IP, или, например, отсеять весь не DNS трафик.

wire_03

Еще лучше. Но допустим, что вы не уверены в том, что ищете. Тогда Wireshark может подсветить определённым цветом какие-то вещи:

wire_04

Всё очень гибко настраивается и кастомизируется. Ок, давайте посмотрим несколько примеров.

Наш клиент, конечно, слышал, что нужно использовать шифрование. Однако, истории про перехваченный трафик казались чем-то отдаленным, как будто даже не про него. Поэтому в политике безопасности не отражено требование использовать для удаленного доступа к ресурсам исключительно защищенные каналы. Ну что же, вот что удалось собрать:

wire_05

Ну и что? Какие-то пакеты, в чем проблем-то? С помощью функции Follow Stream мы можем собрать сеанс пользователя во вполне читабельный вид. Как вам такое?

wire_06

Логин и пароль отправлены в открытом виде, потому что так уж устроен протокол FTP. Это уже куда более наглядно для заказчика и для объяснения, почему нужно шифровать каналы и вкладывать средства в инфраструктуру информационной безопасности.

Или вот еще пример, перехваченный сеанс отправки почты по SMTP:

wire_07

Здорово, смотрите, при установлении подключения мы видим какие-то непонятные символы, наши логин и пароль зашифрованы. Нет, конечно! Они просто перекодированы в base64, и вернуть их в читаемый вид нет никакой сложности:

wire_08

Вот еще пример, в собранном трафике обнаружено следующее:

wire_09

Ну очевидно, кто-то пытается подобрать пароль к FTP, а IPS либо не установлен, либо не настроен.

Я нашел эти примеры в интернете. В реальной жизни, все обычно несколько сложнее и даже со всеми специальными средствами Wireshark анализ собранного трафика может занять значительное время.

И это вторая причина, почему стоить обратить внимание на перехват трафика. В интернете можно найти примеры работ практически любого протокола с подробным разбором. Образовательный потенциал этого трудного переоценить. Например, вы что-то слышали про процесс DORA при получении адреса по DHCP? Отлично, вот и он:

wire_10

Готовитесь сдавать CCNA, и информация о протоколах маршрутизации не выглядит наглядно? Не вопрос, вот так работает RIP:

Готовитесь сдавать CCNA, и информация о протоколах маршрутизации не выглядит наглядно? Не вопрос, вот так работает RIP:

wire_11

Или, например, OSPF.

wire_12

Вы можете в подробностях разобраться, как работают протоколы аутентификации и больше никогда не возвращаться к мыслям о том, что же там передается в открытом виде, а что зашифровано.

По-хорошему, анализом трафика на предприятии должны заниматься роботы специальные программные продукты. Но мы живем в реальном мире, и специалистам периодически приходится многое делать руками. И тут-то и пригодятся эти знания.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s