Mikrotik a modul Calea



Podobné dokumenty
KLASICKÝ MAN-IN-THE-MIDDLE

Bezdrátové routery LTE & UMTS datové a hlasové brány

Směrovací protokol Mesh (802.11s) na platformě Mikrotik

VRRP v1+v2, konfigurace, optimalizace a reakce na události na plaformě RouterOS

STRUČNÝ NÁVOD K POUŽITÍ

B Series Waterproof Model. IP Kamera. Uživatelský manuál


Návod k obsluze. Platforma RouterBoard s přeinstalovaným RouterOS Mikrotik. i4wifi a.s.

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

s anténou a podstavcem CD-ROM obsahující návod a informace o záruce Ethernetový kabel (CAT5 UTP nekřížený) ADSL kabel (standardní telefonní kabel)

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Komunikace s automaty MICROPEL. správa systému lokální a vzdálený přístup do systému vizualizace, umístění souborů vizualizace

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Návod k obsluze. IP kamera Minitar MWIPC-1510G

Návod k obsluze IP kamery Zoneway. IP kamery jsou určené pro odbornou montáž.

Směrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Návod na změnu nastavení modemu s aktivní Wi-Fi ARRIS TG 2494

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Stručný návod pro nastavení routeru COMPEX NP15-C

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

Popis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA

Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními

WiFi kamera venkovní bezpečnostní Wanscam HW0043 HD 720P

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

1. POWER svítí Externí napáječ pracuje normálně. Externí napáječ je vypnutý nebo odpojený. 2. WLAN svítí Bezdrátová síť WLAN pracuje normálně.

Informační a komunikační technologie. 3. Počítačové sítě

Uživatelský manuál WEB SERVICE V3.0 IP kamer Dahua

LAN/RS485. Převodník BMR Ethernet LAN/RS485

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci

Bezpečnostní kamera Wanscam HW0028 HD 720P

Zabezpečení v síti IP

PROGRAMOVATELNÉ AUTOMATY FATEK

PB169 Operační systémy a sítě

Semestrální projekt do předmětu SPS

Wireshark, aneb jak odposlouchávat síť - 1.díl

Bezdrátové připojení (pouze u vybraných modelů)

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Použití programu WinProxy

PB169 Operační systémy a sítě

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Konfigurace WDS režimu u produktů bezdrátových AP a routerů Tenda

Aktion Connector NÁVOD

Technologie počítačových sítí

Návod k obsluze. VoIP PBX ústředna. Soundwin WiPBX, ipbx

Připojení systémů CNC 8x9 DUAL do sítí pomocí protokolu TCP/IP (Platí od verze panelu 40.31)

ZAŘÍZENÍ PRO VZDÁLENÝ SBĚR A PŘENOS DAT FIRMWARE

Obsah PODĚKOVÁNÍ...11

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Ing. Michal Martin. Spojení PLC CLICK s NA-9289

Počítačové sítě. Další informace naleznete na :

Připojení do PC aplikace Camera Live

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Příručka nastavení funkcí snímání

Ověření technologie Traffic-Flow na platformě Mikrotik a NetFlow na platformě Cisco

Uživatel počítačové sítě

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Budka / krmítko s vestavěnou IP kamerou BC-xxx / KC-xxx Konfigurace síťových parametrů IP kamery

GTS internet DSL. Návod nastavení modemu a spuštění služby. (platné pro Zyxel Prestige VMG1312-B30B)

Název školy: Základní škola a Mateřská škola Žalany. Číslo projektu: CZ. 1.07/1.4.00/ Téma sady: Informatika pro devátý ročník

Model: Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL

Inovace výuky prostřednictvím šablon pro SŠ

Průvodce nastavením VoIP u telefonní ústředny OMEGA

Super Hot Multiplayer vzdálené sledování finančních dat. Konfigurace sítě. Strana: 1 / 8

Informační a komunikační technologie. 1.7 Počítačové sítě

Instalační návod IP kamer

Rychlý průvodce instalací

ADW-4401B. Bezdrátový Ethernet/ADSL router. Uživatelský manuál

... Default Gateway (Výchozí brána) DNS Address (DNS adresa) PPPoE User Name (Jméno uživatele) Password (Heslo) PPTP

SADA VY_32_INOVACE_PP1

Možnosti využití Windows Server 2003

Konfigurace sítě s WLAN controllerem

Návod k obsluze CC&C WA-6212-V2

Použití Virtual NAT interfaces na Cisco IOS

Maturitní otázky z předmětu Počítačové sítě školní rok 2007/2008

TheGreenBow IPSec VPN klient

Balení obsahuje: Bezdrátový-G VPN Router s zesilovačem dosahu Instalační CD-ROM Uživatelskou příručku na CD-ROMu Síťová kabel Síťový napájecí adapter

Telefonní adaptér SIPURA SPA-2100 Stručný průvodce instalací a konfigurací

Návod k instalaci, provozu a údržbě brány MODBUS. Návod k instalaci, provozu a údržbě. Brána Modbus

Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26)

Střední odborná škola a Střední odborné učiliště, Hořovice

Přední panel SP3361 ADSL DATA LAN USB PWR

TC-502L. Tenký klient

ZYXEL P-660HN-T3A. nastavení modemu. vzorové nastavení ADSL

ZYXEL P-660HW-T3 v2. nastavení modemu. vzorové nastavení ADSL

IntraVUE Co je nového

Návod pro připojení do sítě (LAN) pomocí kabelu pro MS Windows VISTA

Nastavení programu pro práci v síti

TC-502L TC-60xL. Tenký klient

Předmluva... 2 Popis panelu... 4 Obsah balení... 5 Instalace acces pointu... 5 Inicializace a nastavení acces pointu... 5 Řešení problémů...

SPARKLAN WX-7615A - návod k obsluze. Verze i4 Portfolio s.r.o.

V tomto zařízení jsou implementovány veškeré komponenty pro firemní komunikaci včetně kompletních hlasových a mnoha dalších uživatelských služeb.

Transkript:

Mikrotik a modul Calea Jiří Hanušovský (HAN370), Marek Smolka (SMO119) Abstrakt: V projektu jsme se zabývali modulem Calea na platformě Mikrotik. Ověřovali jsme funkci logování provozu připojených PC přes Mikrotik. Vypracovaný projekt obsahuje teorii a praktickou část konfigurace modulu Calea. Závěr popisuje dosažené výsledky a přínos modulu Calea. Klíčová slova: Mikrotik, sniffing, modul Calea, Wireshark 1 Teorie...2 1.1 Sniffing...2 1.2 Calea...2 2 Topologie sítě...3 3 Konfigurace sítě...4 3.1 Základní nastavení...4 3.2 Nastavení modulu Calea...4 4 Konfigurace Calea...4 4.1 Vlastnosti nastavení...6 5 Použitá zařízení...9 6 Závěr...9 7 Zdroje...9 Květen 2010 1/9

1 Teorie 1.1 Sniffing Jedná se o techniku, při které dochází k ukládání a následnému čtení TCP paketů. Používá se zejména při diagnostice sítě, zjištění používaných služeb a protokolů a odposlechu datové komunikace. Dělení: Správce sítě - má nejvyšší práva a možnosti k odposlouchávání komunikace v síti Fyzický (nebo hardwarový) Man-In-the Middle - je možné provést odposlech při fyzickém přístupu k patřičnému uzlu v síti Packet sniffing - metoda při které se využívá špatného návrhu sítě. Jedná se o síť, ve které aktivní prvky, posílají pakety do celé sítě a počítače zpracovávají pakety, které jsou pro ně určeny. Pokud v takové síti přepneme síťové rozhraní do tzv. promiskuitního módu, je možné odchytávat i pakety které nejsou určeny pro náš počítač. Klasický Man-In-the-Middle - využívá se techniky MAC address spoofing. Sniffer se se postaví mezi dva počítače, servery nebo aktivní. Technika spočívá v přesvědčení potistrany, že komunikuje s důvěryhodnou stranou. Při této metodě je možné měnit posílaná data, či úplně přerušit komunikaci. Lokální sniffing - sniffer je umístěn mezi TCP/IP ovladačem systému a síťovým hardwarem na počítači vybrané oběti. Jedná se o software, který ukládá případně přeposílá data na jiný počítač. 1.2 Calea Při zpracovávání projektu jsme používali modul Calea, který je navržen tak aby splnil požadavky amerického zákona CALEA. CALEA Communications Assistance for Law Enforcement Act zákon přijatý v USA v roce 1994 za vlády Billa Clintona. Vyžaduje, aby telekomunikační operátoři a výrobci používali a navrhovali taková zařízení, které mají vestavěnou podporu pro sledování. Cílem je umožnit federálním agenturám sledovat všechny telefonní hovory, širokopásmový internet a VoIP v reálném čase. Mezi lety 2004 a 2007 došlo na základě tohoto zákona k 62% nárůstu napíchnutých telefonů a k 3000% nárůstu sledovaných datových přenosů a e-mailů. Květen 2010 2/9

2 Topologie sítě Ilustrační schéma modulu Calea integrovaného do interní sítě: Access Point: Mikrotik - Routerboard 433 bezdrátový přístůpový bod do LAN sítě, standard IEEE 802.11g směrování mezi 3 LAN sítěmi. Každá síť využívá jiné rozhraní (2x FastEthernet, 1x Wi-Fi) Wireless Client: Notebook Acer klient připojený bezdrátovou kartou k AP Calea Server: testování na 2 platformách 1. platforma: PC Notebook Acer 2. platforma: Mikrotik Routerboard 433 Schémá topologie vytvořené sítě, kde proběhla konfigurace modulu Calea na platformě Mikrotik. Rozhraní: SOHO router D-link výchozí nastavení domacího routeru (eth i wi-fi) 10.10.0.1/24 WAN síť ISP Mikrotik RouterBoard 433 RB disponuje 3x FastEthernet a 3x minipci sloty pro wi-fi karty Eth1 10.10.0.8/24 Eth2 192.168.5.1/24 Wi-fi karta 192.168.8.1./24 PC1 integrovaná FastEthernet karta ve stolním počítači Notebook integrovaná wi-fi karta, standard IEEE 802.11g Květen 2010 3/9

3 Konfigurace sítě Pro otestování modulu Calea, jsme zvolili RouterBoard 433. Ten již má v sobě nainstalovaný Mikrotik RouterOS L4 licenci, která umožňuje vytvořit bezdrátový přístupový bod. Nutnou podmínkou pro modul Calea, je mít příslušný balíček nainstalovaný a zapnutý v systému. Pro konfiguraci byl použit systém RouterOS 4.6 obsahující modul Calea. Mikrotik lze spravovat přes winbox utilitou (windows program, který funguje i v linuxu za pomocí programu wine ), rovněž přes telnet protokol, ssh protokol. Ve Winboxu lze zapnout konzolové prostředí přes New Terminal. Pro naši práci jsme používali převážně příkazovou řádku z winboxu. 3.1 Základní nastavení Mikrotik jsme připojili k PC přes FastEthernet, zapli jsme Winbox. Utilita Winbox nám umožní nalézt přes MAC adresy všechny dostupné Mikrotiky v našem segmentu skrz L2 síť. Příhlásit se taky lze klasicky přes IP adresu, pokud ji známe. V našem případě jsme našli příslušnou MAC adresu RouterBoardu (dále jen RB) a vstoupili jsme do konfiguračního menu. V nabídce IP -> Addresses jsme nastavili na patřičné rozhraní danou IP adresu. Rozhraní: Eth1 10.10.0.8/24 Eth2 192.168.5.1/24 Wifi_calea 192.168.8.1/24 Na rozhraní Eth1 byl nastaven DHCP klient, protože RB byl připojen do interní domácí sítě, která je řízená DHCP serverem. DHCP client nastavení: IP-> DHCP client - je potřeba nastavit rozhraní pro klienta. Pak již se rozhraní automaticky připojí k DHCP serveru a může probíhat komunikace přes IP protokol (prochází pingy). DNS nastavení: IP-> DNS - je potřeba vyplnit DNS adresu poskytovatele připojení na internet. 3.2 Nastavení modulu Calea Modul Calea lze konfigurovat pouze přes konzolové rozhraní. Nastavení modulu je k dispozici v / ip firewall calea nastavení dostupné v každém RouterOS / tool calea nastavení dostupné pouze v RouterOS s obsahujícím modulem Calea 4 Konfigurace Calea A) Sledování trafficu specifického klienta V / ip firewall calea se specifikuje sledovaná adresa, cílová adresa a cílový port, na který se mají zachycené data poslat. Nastavení umožňuje přeposílat traffic na jakoukoliv IP adresu. Může se jednat o PC s Wiresharkem nebo o Mikrotik s modulem Calea. Květen 2010 4/9

Položka action: určuje zvolený způsob přijímaní dat 1) Sniff - generuje tzsp stream, který může být zachycen přes Wireshark. Tzsp stream se používá k zasílání sniffer streamu skrz IP síť. Podrobnější informace o tzsp streamu se lze dočíst z odkazu ve Zdrojích. 2) Sniff-pc generuje Packet Cable stream, který může být zachycen Mikrotik Položka sniff-id: RouterOS s nainstalovaným modulem calea. Nastavuje se pouze u action sniff-pc a slouží k odlišnému nastavení jednotlivých logovacích přenosů. Nastavení pravidel pro traffic logování z IP adresy 192.168.5.253 na IP adresu 192.168.8.254 Ad 1) / ip firewall calea add action=sniff-pc chain=forward sniff-id=100 snifftarget=192.168.8.254 sniff-target-port=5555 \ src-address=192.168.5.253 / ip firewall calea add action=sniff-pc chain=forward sniff-id=100 snifftarget=192.168.8.254 sniff-target-port=5555 \ dst-address=192.168.5.253 Ad 2) / ip firewall calea add action=sniff chain=forward sniff-target=192.168.8.254 sniff-target-port=5555 \ src-address=192.168.5.253 / ip firewall calea add action=sniff-pc chain=forward sniff-id=100 snifftarget=192.168.8.254 sniff-target-port=5555 \ dst-address=192.168.5.253 B) Sledování trafficu na vybraném Access-Pointu. V / tool calea lze upřesnit podrobné nastavení o vlastnostech ukládání dat. Server vytvoří 2 soubory (1 datový soubor a 1 hash soubor). Vlastnosti se můžou nastavit na velikost soubor, dobu logování, nebo typ zabezpečení. Nastavení umožňuje zachytávat a úkládat sniffnuté data ze sítě přímo na Mikrotiku. / tool calea add action=pcap intercept-port=5555 case-id=100 interceptip=192.168.0.254 Květen 2010 5/9

4.1 Vlastnosti nastavení Atributy, kterými lze specifikovat nastavení /tool calea - case-id case ID nastavení zachyceným routrem - case-name lze vytvořit vlastní složku, pro ukládání dat v Mikrotiku. Možnost kontroly ve Winboxu. Vytvořená složka jde vidět po kliknuti na Files. - intercept-ip k příjímaní streamu z IP adresy - intercept-port UDP port na kterém je nastaven příjem loggování - action formát ukládání. Pouze pcap. - pcap-file-stop-interval maximální inteverval mezi vytváření souborů s logy. - pcap-file-stop-size maximální velikost souborů v KiB - pcap-file-stop-count maximální počet paketů - pcap-file-hash-method hash algoritmus (md5, sha1 or sha256) Intercept-port and case-id musí byt totožné na straně klienta i serveru. Pro vyčtení dat z odposlechu při nastavení action sniff bylo zapotřebí nainstalovat na PC program Wireshark, kterým jsem zachytili traffic na PC. Následně jsme nastavili filtr na TCP a UDP s příslušným portem. Obr. 2 použit port 5555, Obr. 4. použit port 6666. Wireshark nám vyfiltroval požadované data. Abychom zjistili, jaký traffic byl na sledovaném PC spuštěný, museli jsme ve Wiresharku zapnout Follow UDP stream. Tato funkce nám poskládala UDP stream, kde jsme již vyčetli námi potřebné údaje z UDP komunikace. Pokud bychom chtěli vyčíst přímo Tzsp stream, je zapotřebí upravit nastaveni ve Wiresharku. V záložce Analyze/Enable Protocols vypnout WCCP protokol. Jinak není možné Tzsp stream zachytit. Obr. 1. ukazuje průběh trasy při zapnutém sniffingu na RouterOS Obr. 1. Průběh sniffingu Červené čáry označují průběh komunikace, která se sledovala. Byl vždy odposlouchávan PC1, na kterém byl zapnut webový prohlížeč a uživatel surfoval na internetu. Tato komunikace se zachytávala přes Wireshark. Modra čára znázorňuje průběh 1. odchycení komunikace přes Wireshark. Následně při 2. logování jsme Květen 2010 6/9

posílali průběh trafficu na notebook připojenému k SOHO routeru. Obr. 2. představuje sledování trafficu IP adresy 192.168.5.253 a posílání dat na IP adresu 192.168.8.254, kde je zapnut Wireshark. Obr. 2. Nastavení položky action sniff Obr. 3. Vyčtení dat z UDP komunikace přes Wireshark s pomocí Follow UDP Stream Květen 2010 7/9

Obr. 4. představuje sledování trafficu na IP adrese 192.168.5.253 a posílání dat na IP adresu 10.10.0.2, kde je zapnut Wireshark. Obr. 4. Nastavení položky action sniff-pc Při testování nastavení sniff-pc bylo patrné, pokud je nastavena IP adresa Mikrotiku, data se ukládají přímo na Mikrotik do zvolené složky. Pokud se IP adresa změní na konkrétní počítač, lze opět data vyčíst přes Wireshark. Zachycené data, které se uložili do souborů do požadované složky na Mikrotiku, se nám žádným způsobem nepodařilo přečíst přes RouterOS. Vytvořily se soubory: 00001.dmp.sha256.hash 00002.dmp Proto jsme oba soubory zkopírovali z Mikrotiku do PC. Díky tomu, že Mikrotik má v sobě FTP protokol, je kopírování přes Winbox jednoduché. Označí se soubory, zvolí se kopírovat a pak kdekoliv do svého počítače soubory uložíte. Soubor 00002.dmp šel přečíst přes Wireshark i Wordpad. Zatímco 2. hash soubor už se nepodařilo přečíst. Hash soubor se vytvořil až poté, když se přestalo zapisovat do první - průběžného souboru. Obsah tohoto souboru se přepíše do hash souboru. 5 Použitá zařízení 1x Routerboard 433-64 MB RAM, 3x RJ-45 (FastEthernet), 3x minipci (1x wlan karta Atheros) 2x Notebook Acer (integrované wi-fi karty) 1x Stolní PC připojení do sítě přes FastEthernet Květen 2010 8/9

6 Závěr Základní nastavení Mikrotiku přes Winbox jsme už uměli z jiného předmětu. Při tomto projektu jsme větší část konfigurovali přes terminál, nebo telnet. Což nám poskytl odlišný pohled na platformu Mikrotik. Modul Calea je přínosný. Sledovat provoz dané IP adresy, mít přehled nad uživatelem, kde se připojuje, je výhodné a velmi zajimavé. Lze tak danému uživateli dokázat, že porušoval zákon, který se týka např. sdílením chráněných autorských děl v P2P sítích. Samotné nastavení modulu Calea není složité. Problém by mohl nastat, aby se při sledování nezapisovaly logy do 1 souboru, který by narůstal do velké velikosti. Od toho jsou k dispozici vlastnosti, kterými lze nastavit způsob logování dat. Přizpůsobuje se to zejména logovaní na Routerboardech, které mají omezenou velikost paměti pro ukládání dat. Nám se nepodařilo zachytit tzsp stream, i přestože jsme měli nastavený Wireshark podle návodu z webu Mikrotiku. Zachycené data jsou UDP stre. Do budoucna by bylo výhodné, aby byl modul Calea dostupný i přes Winbox. A také, aby bylo možné prohlížet uložené logy přímo přes RouterOS. 7 Zdroje [1] OBR, Jiří. Sniffing: Odposlech datové komunikace [online]. 6. Březen 2009 [cit. 2010-04-25]. Dostupné z WWW: <http://www.itbiz.cz/sniffing-odposlech-datove-komunikace>. [2] CALEA [online]. 12 March 2009 [cit. 2010-04-25]. Dostupné z WWW: <http://wiki.mikrotik.com/wiki/calea>. [3] CALEA [online]. 2009, 8.2.2010 [cit. 2010-04-24]. Finally Broadband, LLC. Dostupné z WWW: <http://finallybroadband.com/fb_calea.htm>. [4] Tzsp In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, 13.6. 2007, 16.12.2007 [cit. 2010-05-10]. Dostupné z WWW: <http://en.wikipedia.org/wiki/tzsp>. [5] Wiki Mikrotik [online]. 2008, 6.9.2008 [cit. 2010-05-10]. Ethereal/Wireshark. Dostupné z WWW: <http://wiki.mikrotik.com/wiki/ethereal/wireshark>. Květen 2010 9/9

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář