Comments 9
Длиннопост, но осилил :)
Вы говорите о том, что сниффер можно использовать для диагностики SIP-проблем. Но SIP-трафик часто шифруется. Как быть в таких случаях? Есть ли какие-то способы анализа зашифрованного SIP-трафика, например, с использованием TLS-ключей или других методов?
Вы отмечаете, что сейчас почти всё передаётся через HTTPS. Можно ли аналогично «подсмотреть» данные, если трафик шифруется, например, с помощью tshark и SSL-ключа? И если да — то как это правильно сделать на практике?
Snort может реагировать на сканирование портов и добавлять правила блокировки в PF. Но как быть с большими сетями, где нужно управлять множеством точек? Возможно ли централизованное управление правилами и автоматическая реакция на атаки сразу на нескольких снифферах? Или это уже задача для другой системы?
Скажу сразу - я не являюсь специалистом в области криптоанализа, поэтому вопросы немного не по адресу.
Но SIP-трафик часто шифруется. Как быть в таких случаях? Есть ли какие-то способы анализа зашифрованного SIP-трафика, например, с использованием TLS-ключей или других методов?
Шифрованный SIP я встречал только один раз - в Skype. В телефонии и домофонии SIP гуляет в открытом виде, как и в большинстве средств ВКС. Шифруют в основном медиа поток (Secure RTP). Передача SIP в открытую обусловлена тем, что на оборудовании провайдеров имеются специальные механизмы подержки прохождения через NAT (SIP ALG), которые подсматривают в SDP и модифицируют его, так, чтобы RTP проходил на нужные пары IP:port. Иногда это становится проблемой и во тут-то сниффер может сильно выручить.
Можно ли аналогично «подсмотреть» данные, если трафик шифруется, например, с помощью tshark и SSL-ключа? И если да — то как это правильно сделать на практике?
Конкретно дешифрованием трафика я никогда не занимался, но мне приходилось выяснять какими шифрами пользуются стороны: tshark -Y "ssl.handshake.ciphersuites" выдает много полезной информации. На тему дешифрования SSL/TLS потока имея ключи, в сети есть ряд статей: вот и вот.
Возможно ли централизованное управление правилами и автоматическая реакция на атаки сразу на нескольких снифферах? Или это уже задача для другой системы?
SNORT это конструктор на основе которого можно соорудить систему любой сложности. Грубо говоря есть три варианта: 1) SNORT он же firewall - выявил вторжение и тут же вставил правило в локальный PF или в удаленный firewall (исправил access-list на пограничном Cisco рутере). 2) SNORT как детектор с цетрализованной системой реагирования - массив SNORT-тов формирует поток событий, которые собираются в централизованной системе и там уже принимается решения - блокировать трафик и в какой точке. 3) массив SNORT-ов с системой реагирования находящейся в облаке. Не стану рекламировать эту схему, но сейчас к этому делу активно пытаются прикрутить нейронки, появилась такая штука как SnortML.
В комплекте SNORT-а уже имеются средства чтобы соорудить достаточно сложную систему NIDS самостоятельно. Но есть и готовые надстройки. Самая известная, пожалуй, это pfSense (open source, FreeBSD-based) - скачал образ, поставил на мощную машину, сконфирурировал через Web-админку, подключил внешнюю базу правил и пошел спать. Утром приходишь - сеть лежит. :-)
В тему: Survey of Current Network Intrusion Detection Techniques
Для пользователей Windows необходимо установить SSH клиент который называется putty
Если кто вдруг не в курсе - клиент openssh встроен в Windows 10 начиная с версии 1809
Винду давно не пользую, не знал, спасибо. А клиент так и называется ssh.exe ?
Да просто ssh в новом WindowsTerminal который уже встроен в Win11 (а в Win10 можно установить из MS Store)
Инструкция по Win 10, можно самому все проверить и установить. Спасибо, при необходимости воспользуюсь.
Мощно, материал проработан основательно!
Я бы добавил SNgrep (утилита анализа и захвата SIP трафика).
При большой нагрузке надо смотреть в сторону Netgraph, там есть всё что мы любим (bridge, bpf, tee, vlan, netflow).
Спасибо за статью, прочитал на одном дыхании!
Хороший прибор:)
В целом, можно было сразу поставить pfsense, там все есть в коробке)
Чёрт в табакерке: инструмент для диагностики сети на базе ОС FreeBSD