Laboratórna úloha č. 3

Úvod

Cieľom laboratórnej úlohy je analyzovať zraniteľnosti na úrovni spojovej vrstvy referenčného modelu ISO/OSI a demonštrovať možné riziká a útoky.

V prvej časti laboratórnej úlohy s využitím vhodných nástrojov vo virtuálnom stroji Kali Linux realizujete simuláciu sieťového útoku ARP spoofing, počas ktorej sa pokúsite, akým spôsobom je možné podvrhnúť falošné záznamy do ARP tabuľky klienta, presmerovať sieťovú komunikáciu cez zariadenie útočníka a analyzovať jej obsah. Okrem vykonania samotného útoku, kedy si vyskúšate prácu s nástrojmi arpspoof a Ettercap, sa tiež naučíte analyzovať a vhodne interpretovať zachytené sieťové dáta v prostredí sieťového analyzátora Wireshark. Následne budete implementovať ochranné opatrenia (statické ARP záznamy, monitorovanie ARP záznamov) a testovať ich účinnosť.

Teoretický úvod

V tejto laboratórnej úlohe budete oboznámení s protokolom ARP, ktorý slúži k prekladu logických adries zariadení na adresy fyzické. Ďalšia časť bude zameraná na problematiku týkajúcu sa bezpečnostných hrozieb na úrovni spojovej vrstvy referenčného modelu ISO/OSI. Vysvetlený bude princíp útoku ARP Spoofing, u ktorého bude uskutočnená tiež jeho praktická realizácia.

ARP protokol

ARP protokol (z angl. Address Resolution Protocol) je protokol pracujúci na úrovni spojovej vrstvy referenčného modelu ISO /OSI, ktorý zabezpečuje mapovanie („preklad“) logickej IP adresy zariadenia na jeho fyzickú adresu (spravidla MAC). Protokol ARP teda slúži na prevod logických IP adries na fyzické MAC adresy v lokálnej sieti a napomáha zariadeniam k nájdeniu odpovedajúcej adresy druhej úrovne (t. j. fyzickej adresy) iného zariadenia na základe jeho sieťovej IP adresy (t. j. adresy tretej úrovne). Tento proces je nevyhnutný pre správne smerovanie paketov na spojovej vrstve ISO/OSI modelu. (viď [1] alebo [2])

Keď zariadenie potrebuje odoslať IP paket inému uzlu nachádzajúcemu sa v tej istej lokálnej sieti, najprv prostredníctvom ARP požiadavky zisťuje, aká MAC adresa prislúcha k požadovanej IP adrese. Po získaní odpovede odosielateľ vytvorí ethernetový rámec so správnou cieľovou MAC adresou, ktorú mu dané zariadenie poskytlo v zaslanej ARP odpovedi, a odosiela ho na úrovni spojovej vrstvy.

Pre ARP protokol sú známe nedostatky determinujúce zraniteľnosti, v dôsledku ktorých je ARP protokol náchylný na sieťové útoky. Medzi podstatné zraniteľnosti ARP protokolu možno zaradiť nasledujúce:

• Chýbajúca autentifikácia: ARP protokol nemá zabudovaný žiadny mechanizmus autentifikácie, v čoho dôsledku môže ktorékoľvek zariadenie v sieti odosielať ARP odpovede bez overenia identity. Tento nedostatok umožňuje útočníkovi podvrhnúť falošnú MAC adresu pre konkrétnu IP adresu a docieliť tak „otravu“ ARP tabuľky na zariadení odosielajúcom žiadosť ARP Request (tzv. ARP Cache Poisoning útok).
• Dynamická ARP tabuľka: ARP tabuľka je dynamická, čo znamená, že zariadenia automaticky aktualizujú svoje záznamy na základe prijatých ARP odpovedí. Útočník môže popísaný mechanizmus zneužiť tak, že zariadeniu poskytne falošné údaje a prepíše pôvodné hodnoty fyzických adries iných zariadení zaznamenané v ARP tabuľke.
• ARP odpovede bez vyžiadania: Zariadenia v sieti môžu prijímať a ukladať ARP odpovede, aj keď si ich samé nevyžiadali (t. j. keď tieto zariadenia neodoslali konkrétnu žiadosť ARP Request). Útočník môže využiť uvedenú vlastnosť ARP protokolu k rozosielaniu nesprávnych, falošných ARP odpovedí (tzv. „gratuitous ARP replies“), čím môže ovplyvniť obsah ARP tabuliek u zariadení a celkovo manipulovať s priebehom sieťovej komunikácie.
• Zraniteľnosť voči Man-in-the-Middle útokom: Vzhľadom na absenciu zabezpečenia môžu útočníci presmerovať dátovú komunikáciu medzi zariadeniami cez svoje vlastné zariadenie úplne transparentne z pohľadu obete. To umožňuje odpočúvanie komunikácie, modifikáciu paketov alebo realizáciu útokov typu Denial-of-Service (DoS) o odopretie poskytovania služby.
• Neexistuje vstavaná ochrana: Nakoľko ARP protokol pracuje na spojovej vrstve OSI modelu, samotný nemá zabudované mechanizmy, ktoré by umožnili kontrolovať autentickosť pri-jatých ARP odpovedí, čo môže podnietiť útoky súvisiace s podvrhnutím falošných informácií a „otravou“ ARP tabuľky. Preto je nutné implementovať dodatočné ochranné opatrenia, medzi ktoré patria: konfigurácia statických ARP záznamov, využitie nástrojov pre ARP monitoring (napr. Arpwatch) alebo definícia pravidiel firewallu obmedzujúcich prijímanie neoprávnených ARP odpovedí.

ARP tabuľka

Každé zariadenie v sieti si vo svojej pamäti aktívne udržiava tabuľku obsahujúcu záznamy o dvojiciach k sebe prislúchajúcich logických IP adries a fyzických (MAC) adries, tzv.  ARP tabuľku (ARP cache). Záznamy v ARP tabuľke majú zvyčajne krátku životnosť (napr. 5 minút) a sú v stanovených intervaloch pravidelne aktualizovanéV prípade, kedy nie je záznam v stanovenej dobe aktualizovaný, dochádza k jeho trvalému odstráneniu z prekladovej ARP tabuľky v pamäti zariadenia. . Záznamy k sebe prislúchajúcich dvojíc IP adresy a fyzickej adresy pre jednotlivé zariadenia v danej sieti sa do ARP tabuľky ukladajú buď na základe činnosti samotného ARP protokolu, alebo sa dajú potrebné informácie zadať do ARP tabuľky aj manuálne.

Štruktúra ARP správ

ARP správy sú prenášané na spojovej vrstve ISO/OSI modelu, t. j. nevyužívajú žiadny protokol vyššej (IP alebo TCP) a sú zapuzdrené priamo do ethernetového rámca. Protokol ARP funguje nezávisle od vyšších vrstiev a práve vďaka tomu môžu byť ARP správy odosielané aj v prípade, kedy ešte nepoznáme MAC adresu cieľového zariadenia, nakoľko úvodná správa ARP Request, ako bude popísané ďalej, je odoslaná na všesmerovú fyzickú adresu v príslušnej lokálnej sieti.

Protokol ARP definuje dva základné typy správ:

• ARP Request (žiadosť) – vysielaná do siete v prípade, že zariadenie potrebuje zistiť MAC adresu príjemcu pre známu IP adresu;
• ARP Response (odpoveď) – odpoveď na žiadosť obsahujúca príslušnú MAC adresu.

Každá z uvedených ARP správ (request alebo reply) obsahuje nižšie uvedené polia, jej štruktúra je schematicky znázornená na obr. 1.

• Typ média (16 b): určuje typ protokolu na spojovej vrstve (napr.: 1 = Ethernet),
• Typ protokolu(odpoveď) (16 b) – určuje protokol vyššej vrstvy, ktorý využíva ARP (napr. 0x0800 pre IPv4),
• Dĺžka fyzickej adresy (8 b) – určuje dĺžku MAC adresy v bajtoch (typicky 6 B),
• Dĺžka logickej adresy (8 b) – určuje dĺžku IP adresy v bajtoch (typicky 4 B);
• Operácia (16 b) – označuje typ správy (1 = ARP Request, 2 = ARP Reply);
• Fyzická adresa zdroja (48 b) – MAC adresa zariadenia, ktoré odosiela ARP správu;
• Logická adresa zdroja (32 b) – IP adresa zariadenia, ktoré odosiela ARP správu;
• Hľadaná fyzická adresa (48 b) – MAC adresa cieľového zariadenia (v prípade správy ARP Request je toto pole prázdne);
• Hľadaná logická adresa (32 b) – IP adresa cieľového zariadenia, pre ktoré sa zisťuje MAC adresa.

ARP správa je následne na spojovej vrstve vložená do ethernetového rámca, ktorého EtherType pole je nastavené na hodnotu 0x0806, čím sa indikuje, že dáta prenášané v dátovej časti rámca sú typu ARP.

Popis fungovania ARP protokolu, výmena správ

1. ARP Request (Žiadosť):
   Zariadenie, ktoré pre svojho komunikačného partnera (iné zariadenie) potrebuje zistiť fyzickú MAC adresu pre konkrétnu IP adresu tohto zariadenia, najprv skontroluje svoju ARP tabuľku. V prípade, že požadovaný záznam nie je v ARP tabuľke obsiahnutý, vyšle žiadosť ARP Request vo forme broadcastu na adresu FF:FF:FF:FF:FF:FF, ktorú príjmu všetky zariadenia v lokálnej sieti. V žiadosti uvedie svoju IP a MAC adresu spolu s IP adresou cieľa, ktorú chce nájsť.


2. ARP Reply (Odpoveď):
   Zariadenie s požadovanou (hľadanou) IP adresou odpovedá unicastovou správou ARP Reply adresovanou priamo zariadeniu iniciujúcemu ARP komunikáciu, ktoré odoslalo do siete správu ARP Request. V tejto odpovedi odosiela informáciu o svojej MAC adrese vyplnením príslušného poľa v ARP záhlaví. Ostatné stanice v sieti prijatú správu ARP Request ignorujú a zahodia.


3. Vytvorenie záznamu v ARP tabuľke:
   Po prijatí odpovede si žiadajúce zariadenie uloží IP a k nej odpovedajúcu hľadanú MAC adresu cieľového zariadenia do ARP tabuľky vo svojej pamäti. Ak už zariadenie pozná MAC adresu z predchádzajúcej komunikácie, použije pri ďalšej komunikácii uložený záznam bez nutnosti opakovaného odosielania obdobnej ARP žiadosti.


4. Timeout a obnova:
   Záznamy v ARP tabuľke majú obmedzenú platnosť (typicky napr. 5 minút). Po uplynutí času sa z ARP tabuľky vymažú, aby sa predišlo neaktuálnym údajom pri zmene konfigurácie siete.

Hrozby na spojovej vrstve: ARP Spoofing

ARP spoofing je typ sieťového útoku používaný útočníkmi k presmerovaniu komunikácie v lokálnej sieti (LAN) prostredníctvom manipulácie s ARP protokolom (Address Resolution Protocol). Tento protokol sa využíva na mapovanie sieťových IP adries na fyzické adresy zariadení v rámci danej lokálnej siete. Útok ARP spoofing patrí do skupiny tzv. MitM ( Man-in-the-Middle) útokov, kedy sa útočník dostáva do pozície prostredníka v rámci komunikácie dvoch komunikujúcich strán.

Základný princíp útoku ARP spoofing teda spočíva v tom, že útočník po zachytení žiadostí ARP Request od iných zariadení vyšle do siete podvrhnuté ARP odpovede, v ktorých uvedenie falošné mapovanie požadovanej IP adresy na fyzickú adresu svojho zariadenia, vďaka čomu sa vydáva za dôveryhodné zariadenie (napr. za východziu bránu zo siete alebo server). Cieľové zariadenie, ktoré pôvodnú ARP žiadosť o mapovanie odoslalo, si zapíše tento podvrhnutý zápis do svojej ARP tabuľky, a tak bude všetka ďalšia komunikácia odoslaná na zadanú IP adresu príjemcu následne presmerovaná na zariadenie útočníka. Týmto spôsobom môže útočník zachytávať a manipulovať sieťovú prevádzku.

Priebeh útoku

Pri útoku ARP spoofing útočník najskôr identifikuje cieľové zariadenia v sieti, napríklad klienta a bránu (gateway). Následne začne odosielať falošné ARP odpovede, v ktorých informuje obeť (klienta), že jeho MAC adresa patrí bráne, a zároveň druhé zariadenie, t. j. bránu v podvrhnutých ARP odpovediach informuje, že jeho MAC adresa patrí klientovi. Týmto spôsobom dôjde k presmerovaniu celej sieťovej komunikácie cez útočníkovo zariadenie.

Pokiaľ sa útočníkovi podarí popísaný útok úspešne realizovať, jeho zariadenie sa dostáva do pozície MitM, kedy je cez dané zariadenie preposielaná všetka legitímna komunikácia medzi klientom a bránou, vďaka čomu môže útočník zachytávať, modifikovať alebo blokovať sieťovú komunikáciu medzi týmito dvoma zariadeniami. V závislosti na ďalších použitých nástrojoch môže útočník ďalej napríklad sledovať prihlasovacie údaje, odpočúvať nešifrovaná dáta, presmerovať prebiehajúce dátové prenosy na iný cieľový server alebo realizovať útoky typu DoS (Denial of Service) s cieľom útočiť na celkovú dostupnosť siete.

Ochranné opatrenia proti ARP spoofing útoku

Útoky typu ARP spoofing možno do značnej miery obmedziť, resp. zmierniť ich dopad prostredníctvom implementácie vhodných ochranných mechanizmov.

Jedným zo základných preventívnych opatrení je statické nastavenie ARP záznamov na dôležitých zariadeniach v sieti, čím sa zabráni ich prepísaniu v dôsledku prijatia neočakávaných ARP odpovedí s falošne priradenou dvojicou IP ↔ MAC adresa.

Medzi doplnkové ochranné opatrenia, ktoré je možné proti ARP spoofing útokom nasadiť, patrí mechanizmus filtrovania MAC adries, tzv. MAC filtering, a to najmä v menších alebo staticky konfigurovaných sieťach. Ide o bezpečnostný mechanizmus, pri ktorom sieťové zariadenie (napr. prepínač alebo smerovač) povoľuje pripojenie len tým zariadeniam, ktorých MAC adresy sú vopred povolené v zozname. Týmto spôsobom je možné zamedziť neoprávnenému zariadeniu (napr. útočníkovi) prístup do siete, čím sa znižuje riziko manipulácie s obsahom ARP tabuliek.

V sieťovej infraštruktúre podporujúcej pokročilejšie funkcie je možné nasadiť Dynamic ARP Inspection (DAI) na sieťových prvkoch (typicky prepínačoch), ktorá porovnáva ARP odpovede so známymi, dôveryhodnými údajmi a v prípade nenájdenia zhody blokuje podozrivú prevádzku, resp. povolí prijatie len legitímnych odpovedí.

Ďalšou možnosťou je segmentácia siete a použitie VLAN, čím sa obmedzí dosah potenciálneho útočníka vďaka izolovaniu vybraných zariadení do virtuálnej siete. A taktiež je možné využiť nástroje umožňujúce detekciu podozrivej aktivity, spomedzi ktorých možno spomenúť napríklad arpwatch, ktoré dokážu upozorniť správcu siete na náhle zmeny MAC adries v ARP tabuľkách. Pravidelné monitorovanie a analýza sieťovej prevádzky pomocou Wiresharku tiež prispieva k rýchlej identifikácii potenciálnych nežiadúcich hrozieb.

Ďalšie hrozby na úrovni spojovej vrstvy

Útok ARP Spoofing nie je jedinou známou hrozbou vyskytujúcou sa v počítačových sieťach na úrovni spojovej vrstvy. Existuje množstvo ďalších útokov, ktoré môžu byť vykonané na spojovej vrstve. Nižšie bude uvedených niekoľko z nich.

MAC Flooding

MAC Flooding je útok cielený na sieťové prepínače (switch), ktorý spočíva v „zaplavení“ tabuľky MAC adries na prepínači veľkým množstvom falošných MAC adries. Pamäť prepínača disponuje obmedzenou kapacitou pre ukladanie informácií mapovania MAC adries na príslušné porty, a v prípade, kedy dôjde k prekročeniu dostupnej kapacity, degraduje prepínač svojou funkčnosťou na hub , čo bude mať za následok, že prepínač začne preposielať prijaté rámce ďalej do všetkých portov, čo umožní útočníkovi odpočúvať celú sieťovú komunikáciu.

Vhodnou obranou proti MAC Flooding útoku môže byť použitie a správna konfigurácia mechanizmu Port Security na prepínači, ktorý obmedzuje počet pripojených MAC adries na jednom porte a ďalej umožňuje stanoviť zoznam povolených MAC adries na príslušnom porte.

VLAN Hopping

VLAN Hopping je útok, ktorý umožňuje útočníkovi získať neoprávnený prístup k iným VLAN segmentom v sieti. VLAN (Virtual Local Area Network) je technológia umožňujúca logické oddelenie sieťovej prevádzky celej siete v rámci jedného fyzického prepínača alebo skupiny viacerých prepínačov. Každá VLAN sieť tak predstavuje samostatný segment siete, čo prakticky znamená, že zariadenia v rôznych VLAN sa nemôžu medzi sebou priamo dorozumievať (i keď sa fyzicky nachádzajú v spoločnej lokálnej sieti) bez použitia smerovača alebo špeciálne definovaných pravidiel. Siete VLAN sa používajú najmä za účelom zvýšenia bezpečnosti, zjednodušenie managementu a správy siete a tiež pre rozdelenie celkovej prevádzky a záťaže v počítačovej sieti, vďaka čomu je možné minimalizovať riziko preťaženia, resp. nežiadúceho zahltenia siete.

Útok VLAN Hopping obchádza túto segmentáciu a umožňuje útočníkovi komunikovať s VLAN, do ktorej by nemal mať prístup. Pri útoku dochádza k zneužitiu nesprávnej konfigurácie sieťového prepínača, ktorého úlohou je prenos dát medzi VLAN. VLAN Hopping môže byť vykonaný dvoma hlavnými spôsobmi: switch spoofing, kedy sa útočník vydáva za dôveryhodný, legitímny prepínač a získava prístup k viacerým VLAN, a tzv. double tagging, pri ktorom útočník manipuluje VLAN značkami (tzv. VLAN tag) v rámci záhlaví ethernetových rámcov, čo bude mať za následok presmerovanie paketov do inej VLAN.

Za účelom ochrany pred VLAN Hoppingom je potrebné dbať na správne nastavenie konfigurácie sieťových prepínačov, zakázať možnosť automatického vytvárania trunkov a obmedziť VLAN tagging len na dôveryhodné zariadenia.

Útoky na Spanning Tree Protocol

Spanning Tree Protocol (STP) je sieťový protokol, ktorého použitie umožní zamedziť vzniku sieťových slučiek v ethernetových sieťach s redundantnými spojeniami. Nesprávna konfigurácia preposielania rámcov, v ktorej dôsledku dochádza k využívaniu záložných ciest pre komunikáciu, môže mať za následok zahltenie siete, opakované preposielanie paketov a celkovo nežiadúcim spôsobom ovplyvniť komunikáciu v danej sieti. Protokol STP umožňuje zariadeniam, resp. prepínačom aktívne identifikovať redundantné cesty v sieti a dočasne niektoré porty deaktivovať, aby bolo možné zabrániť vzniku smerovacích slučiek.

Protokol STP používa na výmenu informácií medzi sieťovými prepínačmi špeciálne správy nazývané BPDU (Bridge Protocol Data Unit). BPDU správy pomáhajú určiť hierarchiu prepínačov a vybrať tzv.  root bridge, t. j. hlavný prepínač, ktorý predstavuje referenčný bod pre výpočet najefektívnejších ciest v sieti s redundantnými spojeniami, teda pre vytvorenie kostry siete slúžiacej pre vytvorenie prenosových ciest medzi uzlami s cieľom eliminovať vznik smerovacích slučiek.

Útočník môže popísaný mechanizmus zneužiť odosielaním falošných BPDU správ s nižšou prioritou, v dôsledku čoho sa bude jeho zariadenie pre ostatné prepínače v sieti ako root bridge. Následne môže ovplyvniť konštrukciu kostry siete a docieliť vedenie komunikácie cez svoje zariadenie, čím neoprávnene získa možnosť odpočúvať a prípadne i manipulovať s dátovým obsahom. Okrem toho môže útočník opakovane meniť topológiu siete neustálym posielaním podvrhnutých BPDU správ, čo môže mať za následok narušenie prevádzky, celkovú nestabilitu siete, časté zmeny v prepojeniach medzi porta-mi a nakoniec môže viesť až k fatálnym výpadkom alebo úplnému narušeniu sieťovej komunikácie.

Použité nástroje

V rámci tejto laboratórnej úlohy budú pre útok ARP Spoofing a analýzu komunikácie postupne využité nižšie uvedené nástroje:

• arpspoof: jednoduchý nástroj umožňujúci posielanie falošných ARP odpovedí.
• Ettercap: pokročilý MITM nástroj s možnosťou ARP Spoofingu a schopnosťou cielenej modifikácie sieťovej komunikácie.
• Wireshark: sieťový analyzátor určený pre monitorovanie prebiehajúcej sieťovej komunikácie (resp. jednotlivých dátových paketov) a možnú následnú analýzu manipulovaných ARP odpovedí.
• Arpwatch: nástroj na monitorovanie ARP zmien a detekciu podvrhnutých MAC adries.

Nástroj arpspoof

Arpspoof je jednoduchý nástroj integrovaný v systéme Kali Linux, ktorý môže byť vhodným prostriedkom k vykonaniu útoku typu ARP spoofing. S pomocou tohto nástroja je možné docieliť presmerovanie sieťovej prevádzky (resp. komunikácie) medzi zariadeniami v sieti tým, že útočník predstiera identitu iného zariadenia (zvyčajne brány) a rozosiela falošné ARP odpovede s cieľom modifikovať záznamy obsiahnuté v ARP tabuľkách príslušných zariadení. Nástroj arpspoof môže byť využitý pre testovanie zraniteľností ARP protokolu a na analýzu prebiehajúcej komunikácie.

Nástroj arpspoof je v Kali Linux integrovaný ako súčasť balíčka dsniff. Jeho inštalácia do prostredia Kali Linux je možná pomocou príkazu:

Štruktúra príkazu nástroja arpspoof je nasledujúca:

kde pomocou prepínača -i špecifikujeme konkrétne rozhranie, ktoré je využité pre ARP Spoofing (v prípade napr. ethernetu sa použije typicky rozhranie eth0), ďalej prepínač -t určuje IP adresu „obete“, t. j. cieľového zariadenia, ktorému má byť odoslaná falošná ARP odpoveď. A nakoniec parameter host určuje adresu zariadenia, pre ktoré chce útočník monitorovať a zachytávať prichádzajúcu sieťovú komunikáciu na danej linke (resp. pre ktoré podvrhne falošnú ARP odpoveď).

Príklad použitého príkazu nástroja arpspoof pre simuláciu útoku ARP spoofing môže byť napr.:

čo značí, že k realizácii útoku je použité ethernetové rozhranie eth0, falošné ARP odpovede sú odoslané zariadeniu s IP adresou <cieľová_IP> a útočník odchytáva komunikáciu prichádzajúcu na zariadenie predstavujúce východziu bránu s IP adresou <IP_brány> danej (lokálnej) siete.

Nástroj ettercap

Ettercap predstavuje komplexný nástroj, ktorý je taktiež súčasťou Kali Linux, vhodný pre analýzu sieťovej prevádzky a realizáciu MitM útokov, a to vrátane útoku ARP spoofing. Ponúka väčšie spektrum funkcií v porovnaní s nástrojom arpspoof a podporuje interaktívne sledovanie a manipuláciu s paketmi v reálnom čase. Môže byť použitý prostredníctvom príkazového riadku (terminál) alebo je možné pre prácu s nástrojom využiť užívateľsky prívetivé grafické rozhranie. Medzi hlavné poskytované funkcie nástroja ettercap patrí:

• automatická detekcia zariadení v sieti,
• realizácia MitM útokov vrátane ARP Spoofingu a DNS Spoofingu a tiež možnosť manipulácie s obsahom správ HTTPS a iných protokolov,
• možnosť používania vlastných filtrov na zmenu obsahu paketov.

V rámci praktickej časti laboratórnej úlohy budú postupne použité oba zmienené nástroje k simulácii útoku ARP spoofing. Zásadné rozdiely medzi predstavenými nástrojmi uvádza priložená tabuľka:

Analyzátor sieťovej komunikácie Wireshark

Wireshark je jeden z najpoužívanejších nástrojov na zachytávanie a analýzu sieťových paketov. Používa sa na sledovanie prebiehajúcej dátovej komunikácie s cieľom diagnostiky problémov v sieti, odhaľovanie podozrivej aktivity a skúmanie prípadných bezpečnostných incidentov v monitorovanej sieti. Tento nástroj umožňuje používateľovi detailne sledovať sieťovú komunikáciu a analyzovať dátové jednotky jednotlivých protokolov na všetkých vrstvách ISO/OSI modelu.

Pre účely vypracovania tejto laboratórnej úlohy bude nástroj Wireshark použije na monitorovanie komunikácie ARP protokolu, identifikáciu podvrhnutých ARP odpovedí počas útoku ARP spoofing a na overenie správnosti implementácie ochranných opatrení a ich efektivity v ochrane voči uvedenému typu útoku.

Nástroj Wireshark umožňuje nasledovné:

• Zachytávanie sieťovej prevádzky – Wireshark umožňuje sledovať všetku komunikáciu prebiehajúcu cez vybrané sieťové rozhranie (Ethernet, Wi-Fi, tunelované pripojenia, virtuálne adaptéry atď.).
• Analýza paketov – Umožňuje detailné skúmanie obsahu paketov na všetkých vrstvách OSI modelu, vrátane podrobného zobrazenia a analýzy záhlavia protokolov ako napr. ARP, TCP, UDP, ICMP, DNS či HTTP.
• Filtrovanie paketov – Pomocou použitia filtrov umožňuje zobraziť len potrebné, relevantné dáta, napríklad iba zachytenú ARP komunikáciu alebo HTTP požiadavky. Filtrovanie je možné na základe protokolov, IP adries, MAC adries, portov a ďalších parametrov.
• Rekonštrukcia sieťovej komunikácie – Wireshark umožňuje analyzovať kompletný priebeh komunikácie medzi zariadeniami v sieti, a to vrátane jej obsahu (napr. sledovanie obsahu nezašifrovanej komunikácie protokolu HTTP, analýza požiadaviek a odpovedí).
• Sledovanie podozrivej aktivity, detekcia útokov a bezpečnostných hrozieb – Nástroj Wireshark je možné využiť i k odhaľovaniu podvrhnutých ARP odpovedí, MitM útokov, DoS útokov a iných bezpečnostných incidentov.
• Exportovanie a spracovanie dát – Zachytené dátové pakety (komunikáciu) je možné uložiť do .pcap súborov a analyzovať neskôr.

Základné príkazy Wiresharku (CLI verzia – TShark)

Nástroj Wireshark je možné využiť aj v jeho „príkazovej“ podobe TShark, ktorá umožňuje monitorovať a analyzovať sieťovú komunikáciu v systéme Linux z prostredia terminálu. Nižšie je uvedených niekoľko užitočných príkazov:

• zachytávanie paketov na konkrétnom rozhraní:
tshark -i eth0
Uvedený príkaz spustí zachytávanie sieťovej prevádzky na rozhraní eth0.


• použitie filtra k zobrazeniu len paketov ARP protokolu:
tshark -i eth0 -Y "arp"
• zachytenie paketov a uloženie do súboru:
tshark -i eth0 -w nazov_suboru.pcap
• zobrazenie iba požadovaných polí v paketoch:
tshark -r zachyt.pcap -T fields -e ip.src -e ip.dst
Uvedený príkaz zobrazí len zdrojovú ip.src a cieľovú ip.dst IP adresu zachytených paketov.

V rámci tejto laboratórnej úlohy bude využitá verzia nástroja Wireshark umožňujúca využitie všetkých jeho funkcionalít prostredníctvom grafického užívateľského rozhrania. Podrobnejší popis možností Wiresharku a ich využitia pre potreby tejto úlohy bude uvedený neskôr v praktickej časti návodu.

ARPwatch

Nástroj ARPwatch sa využíva pre sledovanie zmien a detekciu anomálií v ARP tabuľkách na sieťových rozhraniach zariadení a sieťových prvkov a umožňuje vytvárať hlásenia (alerts) v prípade výskytu nežiadúcich a/alebo neočakávaných zmien. Použitie tohto nástroja je obzvlášť výhodné najmä v prostredí s veľkým počtom zariadení, kde môže byť užitočným prostriedkom pre rýchlu detekciu potenciálnych sieťových ARP spoofing útokov.

Praktická časť

V rámci praktickej časti bude realizovaný útok typu MitM, konkrétne ARP spoofing. Simulovaný útok bude prebiehať vo virtuálnej sieti pozostávajúcej z troch virtuálnych strojov s Kali Linux (klient, server a útočník), ktorej topológia je schematicky znázornená nižšie na obrázku. Komunikácia medzi uvedenými virtuálnymi strojmi prebieha skrz virtuálny switch VMware virtual switch, ako je znázornené na uvedenom obrázku. Cieľom úspešnej realizácie ARP spoofing útoku je modifikovať sieť tak, aby všetka komunikácia medzi virtuálnymi strojmi klienta a serveru prebiehala výhradne cez zariadenie útočníka.

Topológia virtuálnej siete a nastavenie virtuálnych strojov

Použité virtuálne stroje:

• obeť (klient): bežný počítač v sieti, cieľ útoku
• server: poskytovateľ sieťovej služby (napr. webserver, gateway)
• útočník: vykonáva ARP spoofing, zachytáva sieťovú komunikáciu medzi klientom a serverom

Sieťová konfigurácia:

• obeť: 192.168.126.129
• server: 192.168.126.130
• útočník: 192.168.126.131

Všetky virtuálne stroje budú pripojené do rovnakej virtuálnej siete (nastavenie sieťového adaptéra v režime napr. Bridged alebo Host-Only), aby mohlo byť na VM predstavujúcom „útočníka“ realizované zachytávanie dátových prenosov (komunikácie) medzi klientom a serverom.

Zoznámenie sa s použitými nástrojmi

Prehľad základných príkazov pre jednotlivé používané nástroje

• Zobrazenie ARP tabuľky:
arp -a


• ARP spoofing pomocou nástroja arpspoof:
sudo arpspoof -i eth0 -t 192.168.1.10 192.168.1.1


• Spustenie Ettercapu cez terminál:
sudo ettercap -Tq -M arp:remote /192.168.1.10/ /192.168.1.1/

Použitie Wiresharku na analýzu ARP spoofing útoku

1. Spustenie zachytávania sieťovej prevádzky
   Po spustení programu Wireshark je potrebné vybrať monitorované sieťové rozhranie, cez ktoré prebieha komunikácia (napr. eth0 pre Ethernet). Po jeho výbere kliknutím na tlačidlo Start spustíte zachytávania paketov.


2. Filtrovanie paketov ARP protokolu
   Pre zobrazenie dátových jednotiek prislúchajúcich ku komunikácii ARP protokolu, je vhodné použiť filter pre komunikáciu: arp. Tento filter zobrazí len ARP žiadosti a ARP odpovede odosielané v monitorovanej sieti.


3. Identifikácia podvrhnutých ARP odpovedí
   V rámci analýzy zachytenej dátovej komunikácie je nutné zamerať sa na rôzne prvky podozrivej aktivity, ktorá môže indikovať prebiehajúci ARP spoofing útok. Môže sa jednať napr. o:
   • neočakávané ARP odpovede bez predchádzajúcich ARP žiadostí,
   • rovnaké IP adresy priradené k rôznym fyzickým MAC adresám,
   • časté opakovanie ARP odpovedí smerujúcich na jedno cieľové zariadenie (obeť).
   
   
4. Ukladanie a analýza dát
   Zachytené pakety zaznamenanej ARP komunikácie je možné vo Wiresharku uložiť do samostatného .pcap súboru a analyzovať neskôr pomocou príkazu:
   
tshark -r subor.pcap | grep ARP

Postup pre vypracovanie laboratórnej úlohy

A) Príprava prostredia

Spustenie virtuálnych strojov

• Otvorte VMware Workstation Pro (umiestnený na ploche).
• Spustite postupne všetky tri virtuálne stroje (klient, server, útočník). Uistite sa v správnosti konfigurácie sieťových parametrov, overte priradenie IP adries.
• Prihláste sa do prostredia Kali Linux na VM útočníka.

Prihlasovacie údaje:

Overenie sieťovej konektivity

• Otvorte terminál (kliknite na ikonu terminálu v záhlaví horného pracovného panelu alebo stlačte Ctrl + Alt + T).


• Na jednotlivých VMs si zobrazte priradené IP adresy (na rozhraní eth0) pomocou príkazu:
  ip a


• Z klienta vyskúšajte pripojenie na server pomocou príkazu:
  ping <ip_adresa_servera>
  Ak prichádza odpoveď ping echo reply zo strany servera, sieťová komunikácia medzi zariadeniami funguje.


• Obdobným spôsobom overte možnosť spojenia v opačnom smere komunikácie.


• Po overení funkčnosti spojenia si zobrazte prekladové ARP tabuľky na oboch zariadeniach pomocou príkazu:
  arp -a

Spustenie Wiresharku a sledovanie ARP paketov

• Na klientovi spustite Wireshark pomocou príkazu:
  sudo wireshark &
  Prepínač sudo spustí nástroj Wireshark s oprávneniami administrátora, čo je nevyhnutné pre zachytávanie sieťovej prevádzky v Kali Linux.


• V hlavnom okne vyberte sieťové rozhranie (napr. eth0).
• Do okna pre filtrovanie napíšte arp a použitie zvoleného filtra komunikácie potvrďte stlačením Enter.
  Použitie filtra arp zaistí, že spomedzi všetkých zachytených dátových jednotiek prenesených v rámci komunikácie cez zvolené rozhranie, budú zobrazené len správy protokolu ARP.
• Kliknite na Start Capturing Packets.

B) Vykonanie ARP spoofing útoku

Princípom simulácie útoku bude dosiahnuť „otravu“ ARP tabuliek na zariadení klienta a na serveri, a to v dôsledku podvrhnutia falošných ARP odpovedí zo strany útočníka, ktoré budú oznamovať skutočnosť, že server so sieťovou IP adresou 192.168.126.130 má priradenú fyzickú MAC adresu odpovedajúcu zariadeniu útočníka [cc:cc:cc:cc:cc:cc] a obdobne v druhom smere komunikácie bude serveru poskytnutá informácia, že klient s IP adresou 192.168.126.129 tak isto disponuje fyzickou MAC adresou zariadenia útočníka [cc:cc:cc:cc:cc:cc] (ako je znázornené aj na obr. 3).

Podvrhnutie ARP odpovedí obom komunikujúcich zariadeniam bude mať za následok odosielanie všetkej komunikácie v smere server → klient a tak isto v opačnom smere klient → server na zariadenie útočníka. Útočník môže zachytené správy modifikovať a následne v zmenenej podobe preposlať koncovému adresátovi, čo bude mať za následok narušenie integrity komunikácie.

Použitie nástroja arpspoof

• Pred spustením samotného útoku je potrebné povoliť presmerovanie IP paketov na zariadení útočníka, aby mohol správne sprostredkovať komunikáciu medzi klientom a serverom:
  echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward
  Použitie uvedeného príkazu zabezpečí, že útok nebude spôsobovať výpadok prebiehajúceho legitímneho spojenia medzi klientom a serverom, no zároveň bude útočník schopný komunikáciu zachytávať a preposielať – čo je typický priebeh MitM útoku.


• Na útočníkovom stroji ďalej otvorte terminál (nové terminálové okno) a spustite nasledujúce príkazy pre vykonanie ARP spoofing útoku postupne pre oba smery komunikácie. Pre podvrhnutie ARP odpovede klientovi použite príkaz:
  sudo arpspoof -i eth0 -t 192.168.126.129 192.168.126.130
  Do príkazu arpspoof vstupujú ako parametre jednotlivých prepínačov hodnoty na základe uvedenej topológie vytvorenej pre túto laboratórnu úlohu.


• Následne opakujte postup, ale tentokrát pre podvrhnutie ARP odpovedí serveru:
  sudo arpspoof -i eth0 -t 192.168.126.130 192.168.126.129
  Po použití uvedených príkazov budú generované falošné ARP odpovede a následne odoslané zo stroja útočníka zariadeniam s uvedenými IP adresami, vďaka čomu sa útočník dostane do pozície prostredníka komunikácie MitM medzi klientom a serverom.


• Po zadaní príkazov začne nástroj arpspoof opakovane odosielať na uvedené cieľové IP adresy žiadosti ARP Request. Je nutné nechať tento príkaz na oboch zariadeniach (klient, server) spustený po celú dobu trvania útoku! Akékoľvek ďalšie príkazy je vhodné spustiť v samostatnom okne terminálu.


• Zadanie postupne oboch arpspoof príkazov zaručí, že je útok ARP spoofing kompletný. Všetka komunikácia prebiehajúca v smere klient → server a tiež server → klient bude od tohto momentu prechádzať cez zariadenie útočníka.

Presmerovanie komunikácie – overenie útoku

• Po spustení arpspoof z klienta na server aj zo servera na zariadenie klienta je možné overiť úspešnosť útoku jednoduchým príkazom ping. Na klientovi spustite:
  ping 192.168.126.130


• Na zariadení útočníka sledujte, či sa generované pakety protokolu ICMP objavujú v zachytenej komunikácii vo Wiresharku. Alternatívne je možné overiť úspešnosť útoku aj prostredníctvom nástroja tcpdump, a to nasledovným príkazom:
  sudo tcpdump -i eth0 icmp
  Uvedený príkaz zobrazuje všetky ICMP pakety (napr. ping), ktoré prechádzajú cez rozhranie eth0. Ak útok prebieha správne a je zapnuté IP forwarding, na zariadení útočníka budú zachytené odoslané správy ICMP echo a reply (odpovede) medzi klientom a serverom.

Overenie zmien v ARP tabuľke klienta

• Na zariadení klienta si zobrazte ARP tabuľku zadaním príkazu do nového terminálového okna a pozorujte zmeny porovnaním obsahu tabuľky pred vykonaním útoku:
  arp -a
  Ak je útok ARP spoofing úspešný, MAC adresa prislúchajúca k IP adrese serveru bude v prekladovej ARP tabuľke zmenená na MAC adresu zariadenia útočníka.


• Obdobne postupujte i pri kontrole ARP tabuľky na serveri.

Detekcia zmien v ARP tabuľke pomocou nástroja arpwatch

• Po úspešnom spustení útoku ARP spoofing môžete overiť detekciu zmien v ARP tabuľke aj pomocou nástroja arpwatch.


• Na jednom z napadnutých strojov (klient/server) otvorte terminálové okno a nainštalujte arpwatch pomocou príkazov:
  sudo apt update
  sudo apt install arpwatch -y


• Spustite arpwatch na sieťovom rozhraní, ktorým je napadnuté zariadenie pripojené do siete, v ktorej prebieha útok:
  sudo arpwatch -i eth0


• Počas toho, kým prebieha simulovaný útok pomocou arpspoof, sledujte výstup arpwatch v termináli alebo kontrolujte logovací súbor:
  sudo tail -f /var/log/syslog
  alebo:
  sudo cat /var/lib/arpwatch/arp.dat


• Všímajte si správy, ako napríklad:
  changed ethernet address for 192.168.126.130
  ethernet address 00:0c:29:b6:d3:cc found at 192.168.126.130
  alebo:
  arpwatch: ethernet address for 192.168.126.130 changed from
    00:0c:29:d6:30:5b to 00:0c:29:b6:d3:cc
Uvedené správy (v ARP tabuľke u klienta) indikujú, že IP adresa (server) bola spárovaná s novou MAC adresou (útočníka) – čo je typický dôsledok ARP spoofing útoku.

Zachytávanie a analýza dát vo Wiresharku

V rámci tejto laboratórnej úlohy bude nástroj Wireshark využitý primárne za účelom monitorovania prebiehajúcej ARP komunikácie vo vytvorenej virtuálnej sieti a k následnej analýze zachytených správ (žiadostí a odpovedí) ARP protokolu.

• Vráťte sa do Wiresharku.
• Pozorujte podvrhnuté ARP odpovede a analyzujte ich obsah.
  Kliknutím na paket zobrazíte jeho detaily. Skontrolujte, ako sa zmenili riadiace informácie v záhlaví ARP protokolu po vykonaní ARP spoofing útoku (zdrojová a cieľová MAC adresa by mali byť podvrhnuté).

ARP spoofing pomocou nástroja Ettercap

• Na stroji útočníka spustite Ettercap cez terminál:

• Ako primárne sieťové rozhranie vyberte eth0.
• Po spustení ponechajte všetky nastavenia bez zmeny a pokračujte kliknutím na ☑ v záhlaví zobrazeného okna.
• Kliknutím na Options (tri bodky v záhlaví) sa uistite, že je zaškrtnutá voľba Promisc mode, čo zabezpečí, že zariadenie útočníka bude v promiskuitnom režime a bude môcť zachytávať všetku lokálnu komunikáciu.

• Pred výberom cieľových zariadení je potrebné vykonať sken siete. Kliknite na „tri bodky“ v záhlaví a zvoľte Hosts > Scan for hosts, čím naplníte zoznam dostupných zariadení v sieti.
• Po dokončení skenovania si zoznam zariadení zobrazíte cez Hosts > Hosts List.
• Zo zoznamu vyberte cieľové zariadenia ARP spoofing útoku a pridajte ich do Target 1 (klient) a Target 2 (server).
• Pokračujte kliknutím na MITM Menu (ikona zemegule) v záhlaví grafického rozhrania, zvoľte MITM > ARP Poisoning, zaškrtnite Sniff remote connections a potvrďte kliknutím na OK, čím zahájite útok.

Overenie úspešnosti MITM útoku pomocou Ettercap

• Po spustení útoku v prostredí nástroja Ettercap v režime MITM, môžete jeho úspešnosť overiť obdobným spôsobom ako pri použití nástroja arpspoof – pomocou príkazu ping (odoslanie ICMP echo request správy z klienta na server):

• Ak odosielané správy ICMP protokolu prechádzajú cez zariadenie útočníka (resp. ak sú tieto pakety viditeľné vo Wiresharku alebo ak Ettercap zaznamená komunikáciu medzi danými IP adresami), znamená to, že útok prebehol úspešne a komunikácia bola presmerovaná.

Záver

V tejto laboratórnej úlohe ste sa zoznámili s problematikou bezpečnosti spojovej vrstvy počítačových sietí. Prakticky ste overili priebeh útoku ARP spoofing, v rámci ktorého útočník podvrhnutím falošných ARP odpovedí docieli uvedenie nesprávnych informácií o fyzických MAC adresách v prekladových ARP tabuľkách komunikujúcich zariadení, čo môže mať za následok presmerovanie komunikácie práve skrz zariadenie útočníka.

Účinnou ochranou proti útokom založených na „otrave“ ARP tabuľky je konfigurácia statických záznamov pre mapovanie medzi sieťovými a fyzickými adresami, ktorá zamedzí získavaniu informácií o MAC adresách s využívaním ARP protokolu medzi zariadeniami v sieti, a tým aj nežiaducim zneužitím ARP odpovedí k podvrhnutiu falošnej fyzickej adresy.

Zoznam literatúry

Kompletný zoznam použitých zdrojov nájdete na samostatnej stránke: Zoznam literatúry