Мониторинг сетевого трафика является одной из важнейших задач как для специалистов по сетевой безопасности, так и для пентестеров. Первым важно узнать какие пакеты бродят по их сети, какие протоколы используются для взаимодействия между узлами, какие реальные каналы присутствуют в сети и многое другое. Вторых тоже интересует трафик, но для того, чтобы извлечь из него хэши паролей, перехватить нешифрованные данные и т. д. Так или иначе и тем и другим нужна копия трафика и в этой статье мы поговорим о том, как ее можно получить различными способами, от вполне легальных, до практически хакерских.
Старый добрый SPAN и его недостатки
Начнем с наиболее распространенных способов съема трафика. Протокол SPAN считается стандартом де факто для решения задач получения копий трафика (зеркалирования). Зеркалирование — функция коммутатора, предназначенная для перенаправления трафика с одного порта коммутатора на другой порт этого же коммутатора (локальное зеркалирование) или на удалённый коммутатор (удалённое зеркалирование). То есть, с помощью SPAN мы можем получить копию пакетов, приходящих на другие порты коммутатора.
Казалось бы удобно, но я позволю себе покуситься на «святое» и немного оспорить обязательность использования этого протокола для получения копии трафика. В те далекие времена, когда я сдавал CCNP (была такая сертификация от уже ушедшего вендора) в соответствующей документации указывалось, что режим SPAN должен использоваться в случаях, когда необходимо диагностировать какой‑либо сбой в сети. То есть, у нас в сети (не)ходят пакеты и мы хотели бы понять в чем дело. Для этого мы включаем зеркалирование трафика с нужных портов на определенный и смотрим весь трафик. Решили проблему — выключили зеркалирование.
Однако, так уж исторически сложилось, что SPAN используется повсеместно для получения копии трафика. Между тем, у использования этого режима есть ряд недостатков. Так режим SPAN имеет наименьший приоритет на коммутаторе и если устройство полностью загружено, то первым оно начнет отбрасывать фреймы, копируемые на SPAN порт. На практике, так можно потерять до 25 процентов трафика. Кроме того, коммутатор может отбрасывать некорректные фреймы, что также может привести к потере части трафика.
Поэтому, несмотря на повсеместное использование SPAN этот вариант получения копий трафика не является идеальным и для решения задач мониторинга трафика на постоянной основе лучше рассмотреть другие варианты.
ТАРки
Кроме всего прочего, режим SPAN поддерживается не всеми моделями коммутаторов, например многие промышленные свитчи, активно используемые в АСУ ТП не поддерживают режим зеркалирования трафика. И для получения копии трафика здесь необходимо использовать другие решения. Например, TAP устройства.
ТАР подключаются в разрыв, и снимают полную копию всего проходящего трафика. По сути, ТАРам все равно какие пакеты, из каких VLAN и по каким протоколам канального уровня передаются. Также, к ТАР можно подключить любое количество сенсоров.
С точки зрения защитников готовые ТАР, аналогичные представленным на рисунке будут оптимальным решением. Но у атакующих вряд ли будет возможность установить свое устройство в серверную стойку. Так пентестера, работающего по модели Гость (наличие физического доступа при отсутствии каких‑либо прав в системе, только прослушивание трафика) вряд ли пустят в серверную. А вот возможность подключиться к коммутатору доступа возможно будет.
В таком случае можно использовать самодельные ТАР, собранные по схемам аналогичным представленной.
Как видно, здесь наша основная задача просто подключиться к нужным проводам в парах. На практике, для того, чтобы собрать подобное устройство, совершенно необязательно паять провода. Ниже представлен мой вариант одностороннего ТАР, собранный на основе трех Ethernet портов, соединенных между собой с помощью беспаечного соединения.
В качестве корпуса взята Ethernet розетка с двумя портами, к которой «подселили» еще один бескорпусной Ethernet порт. Соединение всех трех портов выполнено аналогично представленной выше схеме.
Очевидным недостатком такого TAP является отсутствие возможности видеть трафик идущий в обе стороны. В каждый момент времени на зеркальный порт поступают только пакеты, идущие в одну сторону: либо от отправителя, либо от получателя. Для моих задач такой реализации было достаточно (интересовал только входящий трафик) но для того, чтобы видеть в обе стороны нужен еще второй порт.
Когда слишком много...
При использовании ТАР может возникнуть ситуация, когда мы собираем больше трафика, чем нам нужно. То есть, ТАР послушно пересылает все пакеты, которые через него проходят, но наш сенсор, обрабатывающий их не справляется с таким объемом.
В таком случае после ТАР нужно установить пакетный брокер, устройство, которое будет отфильтровывать ненужные пакеты, а нужные может раскидывать на несколько портов, в том объеме, с которым без труда смогут справиться наши сенсоры.
Например, если сенсор может гарантированно переварить 1 Гб, а у нас с ТАР приходит 10 Гб, из которых 5 Гб полезного трафика, то пакетный брокер во‑первых отбросит лишний трафик, а во‑вторых перенаправит пакеты в соответствии с заданными правилами на пять физических портов так, чтобы подключенный к каждому из них сенсор смог без особых проблем его переварить.
Крокодильчик я зубастый
Ну и в завершении рассмотрим совсем хакерский способ снятия копии трафика. Что делать, если у нас есть витая пара, которая нигде не прерывается? Защитники вряд ли окажутся в такой ситуации, а вот для пентестеров это вполне реальный сценарий. В таком случае мы можем попробовать напрямую подключиться к сетевому кабелю. Для этого нам потребуются все те же сетевые розетки или обжатые концы RJ-45 и старые добрые крокодильчики.
Общий принцип подключения здесь аналогичен представленной ранее схеме самодельного TAP.
На практике собрать такое устройство также совсем несложно. В публикациях, посвященных подобному способу подключения обычно пишут, что для того, чтобы подключиться к витой паре достаточно просто слегка надавить пальцами на крокодилов. В моем случае, на витой паре из бухты такой способ действительно сработал, а вот когда я попробовал подключиться к кабелю с заводской обжимкой, то провода пришлось изолировать до самой меди, так как иначе крокодил не мог их прокусить.
Вот так выглядит мое устройство:
Здесь все еще проще: к розетке с двумя портами мы подключаем витые пары, на которые приходят копии трафика. На одну розетку трафик идущий в одну сторону, на другую идущий в обратную. Крокодилы мы подключаем к сетевому кабелю, по которому идет трафик. Можно подключить все четыре крокодила к соответствующим парам, и тогда можно будет увидеть пакеты, идущие в обе стороны.
В качестве программного сниффера может использоваться как tcpdump, так и более удобный Wireshark. Необходимо просто перевести интерфейс(ы) на прослушивающей машине в смешанный режим.
Повествование о съеме трафика с проводных каналов можно было бы продолжить описанием способов бесконтакного снятия с помощью электромагнитных наводок (ПЭМИН), но сомневаюсь, что кто‑то, кроме компетентных органов, сможет реализовать подобное на практике.
Заключение
Анализ трафика, идущего по сети позволяет своевременно обнаружить подозрительную активность, выявить аутентификационные данные, передаваемые в открытом виде и многое другое. В промышленных сетях, где безопасники существенно ограничены в возможностях влияния на трафик, съем копии трафика зачастую является единственным способом обнаружить действия злоумышленника. Поэтому, важно уметь грамотно получать копию пакетов, передаваемых по сети для дальнейшего анализа.
В этой статье мы рассмотрели различные способы получения копий трафика, которые могут использоваться как специалистами по сетевой безопасности для обеспечения защиты, так и пентестерами для поиска уязвимостей в сетевой инфраструктуре.
Если вас интересуют не только технические детали безопасности, но и реальные практические аспекты применения технологий в современной киберзащите, предлагаем вам ознакомиться с рядом открытых уроков, которые будут полезны профессионалам, работающим в сфере ИТ‑безопасности и защиты данных.
Темы предстоящих уроков: