Mikrotik a modul Calea Jiří Hanušovský (HAN370), Marek Smolka (SMO119) Abstrakt: V projektu jsme se zabývali modulem Calea na platformě Mikrotik. Ověřovali jsme funkci logování provozu připojených PC přes Mikrotik. Vypracovaný projekt obsahuje teorii a praktickou část konfigurace modulu Calea. Závěr popisuje dosažené výsledky a přínos modulu Calea. Klíčová slova: Mikrotik, sniffing, modul Calea, Wireshark 1 Teorie............................................................................................................................2 1.1 Sniffing.................................................................................................................2 1.2 Calea.....................................................................................................................2 2 Topologie sítě................................................................................................................3 3 Konfigurace sítě............................................................................................................4 3.1 Základní nastavení................................................................................................4 3.2 Nastavení modulu Calea.......................................................................................4 4 Konfigurace Calea........................................................................................................4 4.1 Vlastnosti nastavení..............................................................................................6 5 Použitá zařízení.............................................................................................................9 6 Závěr.............................................................................................................................9 7 Zdroje............................................................................................................................9
Květen 2010
1/9
1 Teorie 1.1 Sniffing Jedná se o techniku, při které dochází k ukládání a následnému čtení TCP paketů. Používá se zejména při diagnostice sítě, zjištění používaných služeb a protokolů a odposlechu datové komunikace. Dělení: Správce sítě - má nejvyšší práva a možnosti k odposlouchávání komunikace v síti Fyzický (nebo hardwarový) Man-In-the Middle - je možné provést odposlech při fyzickém přístupu k patřičnému uzlu v síti Packet sniffing - metoda při které se využívá špatného návrhu sítě. Jedná se o síť, ve které aktivní prvky, posílají pakety do celé sítě a počítače zpracovávají pakety, které jsou pro ně určeny. Pokud v takové síti přepneme síťové rozhraní do tzv. promiskuitního módu, je možné odchytávat i pakety které nejsou určeny pro náš počítač. Klasický Man-In-the-Middle - využívá se techniky MAC address spoofing. Sniffer se se postaví mezi dva počítače, servery nebo aktivní. Technika spočívá v přesvědčení potistrany, že komunikuje s důvěryhodnou stranou. Při této metodě je možné měnit posílaná data, či úplně přerušit komunikaci. Lokální sniffing - sniffer je umístěn mezi TCP/IP ovladačem systému a síťovým hardwarem na počítači vybrané oběti. Jedná se o software, který ukládá případně přeposílá data na jiný počítač.
1.2 Calea Při zpracovávání projektu jsme používali modul Calea, který je navržen tak aby splnil požadavky amerického zákona CALEA. CALEA – Communications Assistance for Law Enforcement Act – zákon přijatý v USA v roce 1994 za vlády Billa Clintona. Vyžaduje, aby telekomunikační operátoři a výrobci používali a navrhovali taková zařízení, které mají vestavěnou podporu pro sledování. Cílem je umožnit federálním agenturám sledovat všechny telefonní hovory, širokopásmový internet a VoIP v reálném čase. Mezi lety 2004 a 2007 došlo na základě tohoto zákona k 62% nárůstu napíchnutých telefonů a k 3000% nárůstu sledovaných datových přenosů a e-mailů.
Květen 2010
2/9
2 Topologie sítě Ilustrační schéma modulu Calea integrovaného do interní sítě:
Access Point: Mikrotik - Routerboard 433 • bezdrátový přístůpový bod do LAN sítě, standard IEEE 802.11g • směrování mezi 3 LAN sítěmi. Každá síť využívá jiné rozhraní (2x FastEthernet, 1x Wi-Fi) Wireless Client: Notebook Acer • klient připojený bezdrátovou kartou k AP Calea Server: testování na 2 platformách • 1. platforma: PC – Notebook Acer • 2. platforma: Mikrotik – Routerboard 433 Schémá topologie vytvořené sítě, kde proběhla konfigurace modulu Calea na platformě Mikrotik.
Rozhraní: SOHO router D-link výchozí nastavení domacího routeru (eth i wi-fi) – 10.10.0.1/24 WAN – síť ISP Mikrotik RouterBoard 433 • RB disponuje 3x FastEthernet a 3x miniPCI sloty pro wi-fi karty Eth1 – 10.10.0.8/24 Eth2 – 192.168.5.1/24 Wi-fi karta – 192.168.8.1./24 PC1 – integrovaná FastEthernet karta ve stolním počítači Notebook – integrovaná wi-fi karta, standard IEEE 802.11g Květen 2010
3/9
3 Konfigurace sítě Pro otestování modulu Calea, jsme zvolili RouterBoard 433. Ten již má v sobě nainstalovaný Mikrotik RouterOS L4 licenci, která umožňuje vytvořit bezdrátový přístupový bod. Nutnou podmínkou pro modul Calea, je mít příslušný balíček nainstalovaný a zapnutý v systému. Pro konfiguraci byl použit systém RouterOS 4.6 obsahující modul Calea. Mikrotik lze spravovat přes winbox utilitou (windows program, který funguje i v linuxu za pomocí programu „wine“), rovněž přes telnet protokol, ssh protokol. Ve Winboxu lze zapnout konzolové prostředí přes „New Terminal“. Pro naši práci jsme používali převážně příkazovou řádku z winboxu.
3.1 Základní nastavení Mikrotik jsme připojili k PC přes FastEthernet, zapli jsme Winbox. Utilita Winbox nám umožní nalézt přes MAC adresy všechny dostupné Mikrotiky v našem segmentu skrz L2 síť. Příhlásit se taky lze klasicky přes IP adresu, pokud ji známe. V našem případě jsme našli příslušnou MAC adresu RouterBoardu (dále jen RB) a vstoupili jsme do konfiguračního menu. V nabídce IP -> Addresses jsme nastavili na patřičné rozhraní danou IP adresu. Rozhraní: Eth1 – 10.10.0.8/24 Eth2 – 192.168.5.1/24 Wifi_calea – 192.168.8.1/24 Na rozhraní Eth1 byl nastaven DHCP klient, protože RB byl připojen do interní domácí sítě, která je řízená DHCP serverem. DHCP client nastavení: IP-> DHCP client - je potřeba nastavit rozhraní pro klienta. Pak již se rozhraní automaticky připojí k DHCP serveru a může probíhat komunikace přes IP protokol (prochází pingy). DNS nastavení: IP-> DNS - je potřeba vyplnit DNS adresu poskytovatele připojení na internet.
3.2 Nastavení modulu Calea Modul Calea lze konfigurovat pouze přes konzolové rozhraní. Nastavení modulu je k dispozici v / ip firewall calea – nastavení dostupné v každém RouterOS / tool calea – nastavení dostupné pouze v RouterOS s obsahujícím modulem Calea
4 Konfigurace Calea A) Sledování trafficu specifického klienta V / ip firewall calea se specifikuje sledovaná adresa, cílová adresa a cílový port, na který se mají zachycené data poslat. Nastavení umožňuje přeposílat traffic na jakoukoliv IP adresu. Může se jednat o PC s Wiresharkem nebo o Mikrotik s modulem Calea.
Květen 2010
4/9
Položka action: určuje zvolený způsob přijímaní dat 1) Sniff - generuje tzsp stream, který může být zachycen přes Wireshark. Tzsp stream se používá k zasílání sniffer streamu skrz IP síť. Podrobnější informace o tzsp streamu se lze dočíst z odkazu ve „Zdrojích“. 2) Sniff-pc –
generuje Packet Cable stream, který může být zachycen Mikrotik RouterOS s nainstalovaným modulem calea.
Položka sniff-id: Nastavuje se pouze u action sniff-pc a slouží k odlišnému nastavení jednotlivých logovacích přenosů. Nastavení pravidel pro traffic logování z IP adresy 192.168.5.253 na IP adresu 192.168.8.254 Ad 1) / ip firewall calea add action=sniff-pc chain=forward sniff-id=100 snifftarget=192.168.8.254 sniff-target-port=5555 \ src-address=192.168.5.253 / ip firewall calea add action=sniff-pc chain=forward sniff-id=100 snifftarget=192.168.8.254 sniff-target-port=5555 \ dst-address=192.168.5.253
Ad 2) / ip firewall calea add action=sniff chain=forward sniff-target=192.168.8.254 sniff-target-port=5555 \ src-address=192.168.5.253 / ip firewall calea add action=sniff-pc chain=forward sniff-id=100 snifftarget=192.168.8.254 sniff-target-port=5555 \ dst-address=192.168.5.253
B) Sledování trafficu na vybraném Access-Pointu.
V / tool calea lze upřesnit podrobné nastavení o vlastnostech ukládání dat. Server vytvoří 2 soubory (1 datový soubor a 1 hash soubor). Vlastnosti se můžou nastavit na velikost soubor, dobu logování, nebo typ zabezpečení. Nastavení umožňuje zachytávat a úkládat sniffnuté data ze sítě přímo na Mikrotiku. / tool calea ip=192.168.0.254
Květen 2010
add
action=pcap
intercept-port=5555
case-id=100
intercept-
5/9
4.1 Vlastnosti nastavení Atributy, kterými lze specifikovat nastavení /tool calea - case-id – case ID nastavení zachyceným routrem - case-name – lze vytvořit vlastní složku, pro ukládání dat v Mikrotiku. Možnost kontroly ve Winboxu. – Vytvořená složka jde vidět po kliknuti na „Files“. - intercept-ip – k příjímaní streamu z IP adresy - intercept-port – UDP port na kterém je nastaven příjem loggování - action – formát ukládání. Pouze pcap. - pcap-file-stop-interval – maximální inteverval mezi vytváření souborů s logy.¨ - pcap-file-stop-size – maximální velikost souborů v KiB - pcap-file-stop-count – maximální počet paketů - pcap-file-hash-method – hash algoritmus (md5, sha1 or sha256) Intercept-port and case-id musí byt totožné na straně klienta i serveru. Pro vyčtení dat z odposlechu při nastavení action sniff bylo zapotřebí nainstalovat na PC program Wireshark, kterým jsem zachytili traffic na PC. Následně jsme nastavili filtr na TCP a UDP s příslušným portem. Obr. 2 – použit port 5555, Obr. 4. použit port 6666. Wireshark nám vyfiltroval požadované data. Abychom zjistili, jaký traffic byl na sledovaném PC spuštěný, museli jsme ve Wiresharku zapnout „Follow UDP stream“. Tato funkce nám poskládala UDP stream, kde jsme již vyčetli námi potřebné údaje z UDP komunikace. Pokud bychom chtěli vyčíst přímo Tzsp stream, je zapotřebí upravit nastaveni ve Wiresharku. V záložce „Analyze/Enable Protocols“ vypnout WCCP protokol. Jinak není možné Tzsp stream zachytit. Obr. 1. ukazuje průběh trasy při zapnutém sniffingu na RouterOS
Obr. 1. Průběh sniffingu Červené čáry označují průběh komunikace, která se sledovala. Byl vždy odposlouchávan PC1, na kterém byl zapnut webový prohlížeč a uživatel surfoval na internetu. Tato komunikace se zachytávala přes Wireshark. Modra čára znázorňuje průběh 1. odchycení komunikace přes Wireshark. Následně při 2. logování jsme Květen 2010
6/9
posílali průběh trafficu na notebook připojenému k SOHO routeru. Obr. 2. představuje sledování trafficu IP adresy 192.168.5.253 a posílání dat na IP adresu 192.168.8.254 , kde je zapnut Wireshark.
Obr. 2. Nastavení položky action – sniff
Obr. 3. Vyčtení dat z UDP komunikace přes Wireshark s pomocí „Follow UDP Stream“ Květen 2010
7/9
Obr. 4. představuje sledování trafficu na IP adrese 192.168.5.253 a posílání dat na IP adresu 10.10.0.2, kde je zapnut Wireshark.
Obr. 4. Nastavení položky action – sniff-pc Při testování nastavení sniff-pc bylo patrné, pokud je nastavena IP adresa Mikrotiku, data se ukládají přímo na Mikrotik do zvolené složky. Pokud se IP adresa změní na konkrétní počítač, lze opět data vyčíst přes Wireshark. Zachycené data, které se uložili do souborů do požadované složky na Mikrotiku, se nám žádným způsobem nepodařilo přečíst přes RouterOS. Vytvořily se soubory: 00001.dmp.sha256.hash 00002.dmp Proto jsme oba soubory zkopírovali z Mikrotiku do PC. Díky tomu, že Mikrotik má v sobě FTP protokol, je kopírování přes Winbox jednoduché. Označí se soubory, zvolí se kopírovat a pak kdekoliv do svého počítače soubory uložíte. Soubor 00002.dmp šel přečíst přes Wireshark i Wordpad. Zatímco 2. hash soubor už se nepodařilo přečíst. Hash soubor se vytvořil až poté, když se přestalo zapisovat do první - průběžného souboru. Obsah tohoto souboru se přepíše do hash souboru.
5 Použitá zařízení 1x Routerboard 433 - 64 MB RAM, 3x RJ-45 (FastEthernet), 3x miniPCI (1x wlan karta Atheros) 2x Notebook – Acer (integrované wi-fi karty) 1x Stolní PC – připojení do sítě přes FastEthernet
Květen 2010
8/9
6 Závěr Základní nastavení Mikrotiku přes Winbox jsme už uměli z jiného předmětu. Při tomto projektu jsme větší část konfigurovali přes terminál, nebo telnet. Což nám poskytl odlišný pohled na platformu Mikrotik. Modul Calea je přínosný. Sledovat provoz dané IP adresy, mít přehled nad uživatelem, kde se připojuje, je výhodné a velmi zajimavé. Lze tak danému uživateli dokázat, že porušoval zákon, který se týka např. sdílením chráněných autorských děl v P2P sítích. Samotné nastavení modulu Calea není složité. Problém by mohl nastat, aby se při sledování nezapisovaly logy do 1 souboru, který by narůstal do velké velikosti. Od toho jsou k dispozici vlastnosti, kterými lze nastavit způsob logování dat. Přizpůsobuje se to zejména logovaní na Routerboardech, které mají omezenou velikost paměti pro ukládání dat. Nám se nepodařilo zachytit tzsp stream, i přestože jsme měli nastavený Wireshark podle návodu z webu Mikrotiku. Zachycené data jsou UDP stre. Do budoucna by bylo výhodné, aby byl modul Calea dostupný i přes Winbox. A také, aby bylo možné prohlížet uložené logy přímo přes RouterOS.
7 Zdroje [1] OBR, Jiří. Sniffing: Odposlech datové komunikace [online]. 6. Březen 2009 [cit. 2010-04-25]. Dostupné z WWW:
. [2] CALEA [online]. 12 March 2009 [cit. 2010-04-25]. Dostupné z WWW: . [3] CALEA [online]. 2009, 8.2.2010 [cit. 2010-04-24]. Finally Broadband, LLC. Dostupné z WWW: . [4] Tzsp In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, 13.6. 2007, 16.12.2007 [cit. 2010-05-10]. Dostupné z WWW: . [5] Wiki Mikrotik [online]. 2008, 6.9.2008 [cit. 2010-05-10]. Ethereal/Wireshark. Dostupné z WWW: .
Květen 2010
9/9
