Один из моих любимых игровых трейлеров начинается примерно так: «Когда-то давно древние ацтеки верили, что боги не просто подарили людям жизнь, но её пришлось украсть. Прометей украл огонь, а Альберих стащил кольцо».
Я ни на что не намекаю, но история эта стара как мир, и поговорим мы сегодня про воровство. А воровать мы будем сетевой трафик. И, конечно же, не воровать, а перехватывать =)
Перехват трафика нечасто попадает в сферу интересов специалиста по информационной безопасности, но, как я считаю, весьма незаслуженно по ряду причин, которые мы сегодня разберем. Основным нашим инструментом сегодня станет Wireshark – бесплатный перехватчик и анализатор трафика. Он существует уже с 1999 года и успел стать стандартом в своей области.
Установка не должна вызвать каких-либо проблем, а если вы используете какой-то специализированный дистрибутив вроде Kali, то велика вероятность, что он уже установлен и настроен.
Итак, что мы умеем? Для начала мы можем просто включить перехват трафика и посмотреть, что вообще происходит в нашей сети.
Уже неплохо. Мы видим, как Wireshark собрал сетевые пакеты и разобрал их. Мы уже можем приступить к анализу, но в реальной жизни это почти невозможно из-за количества собранных данных. К счастью, в Wireshark встроена система фильтров, которая позволит отсеять ненужный трафик, если мы ищем что-то конкретно. Например, можно выбрать только HTTP-трафик, или трафик с определенного IP, или, например, отсеять весь не DNS трафик.
Еще лучше. Но допустим, что вы не уверены в том, что ищете. Тогда Wireshark может подсветить определённым цветом какие-то вещи:
Всё очень гибко настраивается и кастомизируется. Ок, давайте посмотрим несколько примеров.
Наш клиент, конечно, слышал, что нужно использовать шифрование. Однако, истории про перехваченный трафик казались чем-то отдаленным, как будто даже не про него. Поэтому в политике безопасности не отражено требование использовать для удаленного доступа к ресурсам исключительно защищенные каналы. Ну что же, вот что удалось собрать:
Ну и что? Какие-то пакеты, в чем проблем-то? С помощью функции Follow Stream мы можем собрать сеанс пользователя во вполне читабельный вид. Как вам такое?
Логин и пароль отправлены в открытом виде, потому что так уж устроен протокол FTP. Это уже куда более наглядно для заказчика и для объяснения, почему нужно шифровать каналы и вкладывать средства в инфраструктуру информационной безопасности.
Или вот еще пример, перехваченный сеанс отправки почты по SMTP:
Здорово, смотрите, при установлении подключения мы видим какие-то непонятные символы, наши логин и пароль зашифрованы. Нет, конечно! Они просто перекодированы в base64, и вернуть их в читаемый вид нет никакой сложности:
Вот еще пример, в собранном трафике обнаружено следующее:
Ну очевидно, кто-то пытается подобрать пароль к FTP, а IPS либо не установлен, либо не настроен.
Я нашел эти примеры в интернете. В реальной жизни, все обычно несколько сложнее и даже со всеми специальными средствами Wireshark анализ собранного трафика может занять значительное время.
И это вторая причина, почему стоить обратить внимание на перехват трафика. В интернете можно найти примеры работ практически любого протокола с подробным разбором. Образовательный потенциал этого трудного переоценить. Например, вы что-то слышали про процесс DORA при получении адреса по DHCP? Отлично, вот и он:
Готовитесь сдавать CCNA, и информация о протоколах маршрутизации не выглядит наглядно? Не вопрос, вот так работает RIP:
Готовитесь сдавать CCNA, и информация о протоколах маршрутизации не выглядит наглядно? Не вопрос, вот так работает RIP:
Или, например, OSPF.
Вы можете в подробностях разобраться, как работают протоколы аутентификации и больше никогда не возвращаться к мыслям о том, что же там передается в открытом виде, а что зашифровано.
По-хорошему, анализом трафика на предприятии должны заниматься роботы специальные программные продукты. Но мы живем в реальном мире, и специалистам периодически приходится многое делать руками. И тут-то и пригодятся эти знания.
Simon Says «0» 