Сколь­ко раз ты замечал, что где‑то в пуб­личном мес­те сто­ит прин­тер, IP-телефон или даже пол­ноцен­ный компь­ютер? Все эти устрой­ства объ­еди­няет то, что они, как пра­вило, под­клю­чены к мес­тной локаль­ной сети уже зна­комой нам витой парой.

Что, если потен­циаль­ный зло­умыш­ленник вос­поль­зует­ся оставлен­ным без вни­мания сетевым пор­том и под­клю­чит вмес­то легитим­ного устрой­ства некий спе­циаль­ный девайс, который пре­дос­тавит ему уда­лен­ный дос­туп из любого угол­ка мира? При­чем под­клю­чит это хакер­ское устрой­ство не отклю­чая основное, а вкли­нив его «посере­дине».

В качес­тве такого готово­го устрой­ства мож­но исполь­зовать Packet Squirrel. Его нет­рудно соб­рать на базе одноплат­ного компь­юте­ра Rock Pi E.

Пла­та иде­аль­но под­ходит под рас­смат­рива­емую задачу и не содер­жит ничего лиш­него: тут два Ethernet-пор­та, Wi-Fi и USB. Rock Pi E име­ет так­же опци­ональ­ную под­дер­жку PoE, что поз­волит исполь­зовать устрой­ство без питания по USB, которо­го может не ока­зать­ся в удоб­ном для под­клю­чения мес­те.

Нам пот­ребу­ется прог­рам­мный хаб, который будет в точ­ности копиро­вать каж­дый при­нятый пакет с одно­го Ethernet-пор­та на дру­гой. Тем самым он поз­волит вкли­нить­ся в сеть вне зависи­мос­ти от мес­та его под­клю­чения. Во вре­мя пересыл­ки пакетов с одно­го пор­та на дру­гой устрой­ство может выпол­нять любые дей­ствия так, что жер­тва ничего не заметит. Кро­ме того, кон­фигура­ция хаба дол­жна отве­чать сле­дующим тре­бова­ниям:

• 
  
• весь пересы­лаемый через устрой­ство тра­фик записы­вает­ся;
• 
  
• че­рез сеть, к которой под­клю­чает­ся устрой­ство, откры­вает­ся VPN-тун­нель до управля­юще­го сер­вера, обес­печивая дос­туп в эту сеть из любого угол­ка мира;
• 
  
• с исполь­зовани­ем DNS-эксфиль­тра­ции откры­вает­ся еще один VPN-тун­нель, даже если нет пря­мого выхода в интернет;
• 
  
• ус­трой­ство пре­дос­тавля­ет дос­туп в сеть через встро­енный Wi-Fi-адап­тер;
• 
  
• ус­трой­ство может вый­ти на связь через под­клю­чаемый 4G-модем.
• 
  

И разуме­ется, все это дол­жно работать авто­мати­чес­ки, сра­зу пос­ле под­клю­чения устрой­ства, так как вре­мени на руч­ную нас­трой­ку у зло­умыш­ленни­ка может не быть. Для воз­можнос­ти физичес­кого под­клю­чения в любом мес­те мож­но исполь­зовать допол­нитель­ный патч‑корд.

Реализация

Нас­тро­ить одноплат­ный ПК таким обра­зом, что­бы он мог вкли­нить­ся в физичес­кое соеди­нение, не так уж и слож­но. Сна­чала нуж­но отклю­чить дефол­тные ком­понен­ты, которые могут нам помешать:

Те­перь необ­ходимо скон­фигури­ровать авто­мати­чес­кое объ­еди­нение интерфей­сов eth0 и eth1 в сетевой мост:

Это минималь­ная кон­фигура­ция. Теперь аппа­рат­ная зак­ладка уже готова работать в режиме проз­рачно­го мос­та. Все, что при­дет на один Ethernet-порт, будет в точ­ности копиро­вать­ся на дру­гой порт, и наобо­рот. Но зло­умыш­ленни­ку не прос­то нуж­но пас­сивно переда­вать тра­фик через устрой­ство. Оно дол­жно еще как‑то пре­дос­тавить ему уда­лен­ный дос­туп. Для это­го сле­дует внес­ти необ­ходимые нас­трой­ки внут­ренней сети. В зависи­мос­ти от ситу­ации мож­но исполь­зовать раз­ные методы.

Динамическая настройка сети

Час­то ком­пании в сво­их сетях исполь­зуют авто­мати­чес­кую нас­трой­ку сети пос­редс­твом DHCP. Получив собс­твен­ный IP-адрес, устрой­ство будет не прос­то «глу­пым» хабом, оно смо­жет во вре­мя пересыл­ки пакетов еще и самос­тоятель­но работать в сети.

Пос­коль­ку зак­ладка под­клю­чает­ся на дли­тель­ное вре­мя, а сети могут «пере­езжать» на дру­гие VLAN’ы, в иде­але ата­кующе­му необ­ходимо сде­лать так, что­бы устрой­ство всег­да было готово обно­вить свои сетевые нас­трой­ки. Для это­го нуж­но про­писать при­нуди­тель­ное обновле­ние арен­ды IP-адре­са, а так­же регуляр­ный зап­рос к DHCP-сер­веру в слу­чае неуда­чи:

Статическая настройка сети

Да­леко не всег­да в локаль­ных сетях при­сутс­тву­ет DHCP-сер­вер. Осо­бен­но это спра­вед­ливо, если зло­умыш­ленник проб­рался в сер­верный или даже тех­нологи­чес­кий сетевой сег­мент и помес­тил туда свою зак­ладку. В таком слу­чае он может заранее про­писать на устрой­стве нас­трой­ки сети:

Port security

В кор­поратив­ных сетях на активном сетевом обо­рудо­вании час­то при­меня­ется дос­таточ­но прос­тая, но дей­ствен­ная защит­ная мера, ког­да дос­туп к сетевой розет­ке раз­решен толь­ко с опре­делен­ного MAC-адре­са. В таком слу­чае тра­фик от жер­твы все рав­но будет про­ходить, ведь bridge проз­рачно пересы­лает пакеты с ори­гиналь­ным MAC-адре­сом. Но дос­тупа в сеть непос­редс­твен­но с самого Packet Squirrel, исполь­зующе­го допол­нитель­ный IP-адрес, уже не получить.

Од­нако дан­ное устрой­ство одним кон­цом под­клю­чает­ся к ПК жер­твы, а зна­чит, оно зна­ет доверен­ный MAC-адрес. Сле­дова­тель­но, если в каж­дом исхо­дящем пакете от Packet Squirrel на одном пор­те испра­вить MAC-адрес отпра­вите­ля на MAC-адрес жер­твы, а на дру­гом — на MAC-адрес шлю­за, то пакеты ста­нут неот­личимы от легитим­ных.

Ре­али­зовать такую, на пер­вый взгляд, прос­тую кон­цепцию на деле не так‑то лег­ко, пос­коль­ку тре­бует­ся, что­бы устрой­ство одновре­мен­но с проз­рачной переда­чей тра­фика в обе сто­роны мог­ло и генери­ровать тра­фик от лица жер­твы. Добить­ся это­го мож­но было бы, нап­ример, так:

Так реали­зует­ся прос­тое копиро­вание устрой­ством MAC- и IP-адре­са жер­твы. Но увы, в таком слу­чае ядро Packet Squirrel не смо­жет пересы­лать пакеты из‑за кон­флик­та оди­нако­вых MAC-адре­сов. Тре­бует­ся как‑то обма­нуть ядро. Мож­но не менять собс­твен­ный MAC-адрес устрой­ства, но под­менять MAC-адре­са поз­днее, ког­да пакеты уже сге­нери­рова­ны и «вылета­ют» из сетевой кар­ты:

В такой кон­фигура­ции пакеты с одно­го сетево­го пор­та уйдут с MAC-адре­сом жер­твы, а с дру­гого — с MAC-адре­сом шлю­за. Но пакеты от жер­твы сквозь устрой­ство уже не прой­дут, ведь MAC-адрес при­нуди­тель­но сме­няет­ся еще и на вхо­дящих пакетах.

Зер­калиро­вание пакетов с помощью bridge в дан­ном слу­чае неудоб­но, пос­коль­ку обра­зует­ся один логичес­кий сетевой интерфейс (br0) на оба Ethernet-пор­та. Ата­кующе­му нуж­но иметь воз­можность отправ­лять пакеты незави­симо в каж­дый из сетевых интерфей­сов, но при этом не теряя воз­можнос­ти проз­рачно­го копиро­вания пакетов меж­ду интерфей­сами. Добить­ся это­го мож­но с помощью traffic control:

С такими нас­трой­ками устрой­ство может вкли­нить­ся в легитим­ное физичес­кое под­клю­чение, проз­рачно зер­калируя тра­фик в обе сто­роны и отправ­ляя в это же самое вре­мя пакеты от име­ни жер­твы.

Это поз­волит зло­умыш­ленни­ку обой­ти защиту Port Security и вооб­ще стать пол­ностью невиди­мым в сети.

Пассивный сниффинг