Категория > Новости > Routing nightmare. Как пентестить протоколы динамической маршрутизации OSPF и EIGRP - «Новости»

Routing nightmare. Как пентестить протоколы динамической маршрутизации OSPF и EIGRP - «Новости»


2-03-2022, 00:00. Автор: Hawkins
RFC 7868 был опуб­ликован в 2016 году.

Что­бы зло­умыш­ленник смог под­клю­чить­ся к домену мар­шру­тиза­ции EIGRP, он дол­жен знать номер авто­ном­ной сис­темы. Узнать его он может, нап­ример, из дам­па тра­фика в Wireshark. В отли­чие от домена OSPF, который может быть раз­делен на нес­коль­ко зон мар­шру­тиза­ции, авто­ном­ная сис­тема EIGRP плос­кая, то есть, если ты про­ведешь инъ­екцию мар­шру­та, ско­рее все­го, твой мар­шрут рас­простра­нит­ся по все­му домену.


 

Импакт


Ата­ки на динами­чес­кую мар­шру­тиза­цию мож­но раз­бить на три типа:




  1. Пе­речис­ление сети. Если зло­умыш­ленник под­клю­чит­ся к домену мар­шру­тиза­ции, то он смо­жет про­вес­ти сетевую раз­ведку и обна­ружить некото­рые под­сети. Это дос­таточ­но полез­ный трюк, пос­коль­ку клас­сичес­кое ска­ниро­вание, нап­ример с исполь­зовани­ем того же Nmap, идет дол­го. Не говоря уже о том, что могут сра­ботать сис­темы безопас­ности IDS/IPS. Прос­то при­соеди­нив­шись к домену мар­шру­тиза­ции, мы смо­жем получить информа­цию о под­сетях, анон­сиру­емых сосед­ски­ми мар­шру­тиза­тора­ми. Заметь, этот спо­соб вов­се не гаран­тиру­ет того, что ты смо­жешь обна­ружить все под­сети в орга­низа­ции. Но может при­вес­ти тебя к более лег­кой победе во вре­мя пен­теста.


  2. MITM (man in the middle). Суть этой ата­ки зак­люча­ется в инъ­екции мар­шру­та, что­бы затем перех­ватить тра­фик с целево­го хос­та или же сети. Пос­ле под­клю­чения к домену мар­шру­тиза­ции ты можешь в домене сде­лать анонс, который бук­валь­но выг­лядит так: «Ува­жаемые, хост под IP-адре­сом 192.168.1.43/24 теперь дос­тупен через меня, 192.168.1.150». Мар­шру­тиза­торы в домене при­мут новую информа­цию и помес­тят анон­сирован­ный тобой мар­шрут в таб­лицу мар­шру­тиза­ции. Сто­ит толь­ко учи­тывать, что в кон­тек­сте мар­шру­тиза­ции есть понятие мет­рики. Если твой мар­шрут по цене пути будет хуже, чем осталь­ные, то он не попадет в таб­лицу мар­шру­тиза­ции. Почему? Потому что в таб­лице мар­шру­тиза­ции хра­нят­ся толь­ко луч­шие пути до сетей наз­начения.


  3. DoS (Denial of Service). Перепол­нение таб­лицы мар­шру­тиза­ции. При этом у роуте­ра исто­щают­ся все ресур­сы цен­траль­ного про­цес­сора и опе­ратив­ной памяти. При перепол­нении таб­лицы мар­шру­тиза­ции добавить новый легитим­ный мар­шрут ста­нет невоз­можно. Мар­шру­тиза­тор не смо­жет добавить к себе мар­шрут новой появив­шей­ся сети.


 

Вооружение с FRRouting


FRRouting — это опен­сор­сное решение, пред­назна­чен­ное для соз­дания вир­туаль­ного мар­шру­тиза­тора в Unix/Linux. FRRouting поз­воля­ет реали­зовать вир­туаль­ный мар­шру­тиза­тор, под­держи­вающий про­токо­лы BGP, OSPF, EIGRP, RIP и дру­гие.


С помощью FRRouting мы смо­жем под­нять на сво­ей сто­роне «злой» мар­шру­тиза­тор, запус­тить роутинг и под­клю­чить­ся к целево­му домену мар­шру­тиза­ции. Зачем это нуж­но? Нап­ример, если мы про­ведем ту же инъ­екцию мар­шру­тов без под­клю­чения к домену и уста­нов­ления соседс­тва, то анон­сиру­емые нами мар­шру­ты не попадут в таб­лицу мар­шру­тиза­ции соседей. Они прос­то уле­тят в никуда.



www


У FRRouting есть отличная до­кумен­тация по уста­нов­ке и нас­трой­ке. Советую озна­комить­ся.



 

Настройка FRRouting


Для начала нам нуж­но акти­виро­вать работу демонов в кон­фигура­цион­ном фай­ле daemons. Нас инте­ресу­ют демоны ospfd и eigrpd. Так­же необ­ходимо акти­виро­вать работу демона staticd, что­бы редис­три­буция нас­тра­иваемых ста­тичес­ких мар­шру­тов работа­ла кор­рек­тно.


nano /etc/frr/daemons
ospfd=yes
eigrpd=yes
staticd=yes

Да­лее нуж­но наз­начить пароль для под­клю­чения к панели управле­ния мар­шру­тиза­тором через линии VTY:


nano /etc/frr/frr.conf
password letm3in

Так­же необ­ходимо раз­решить фор­вардинг тра­фика. По умол­чанию в дис­три­бути­вах Linux он отклю­чен.


sudo sysctl -wnet.ipv4.ip_forward=1

За­пус­каем демон frr.


systemctl start frr
Routing nightmare. Как пентестить протоколы динамической маршрутизации OSPF и EIGRP - «Новости»
Сос­тояние демона FRRouting

С помощью коман­ды vtysh попада­ем в панель управле­ния вир­туаль­ным мар­шру­тиза­тором FRRouting.


Вход в панель управле­ния 

Виртуальная лаборатория


В качес­тве сетево­го полиго­на для прак­тичес­кого раз­бора атак выс­тупят сети, изоб­ражен­ные на схе­мах ниже.


Сеть с исполь­зовани­ем OSPF
Сеть с исполь­зовани­ем EIGRP
IP-адре­сация полиго­на

В кон­тек­сте ата­ки на OSPF я рас­смот­рю инъ­екцию мар­шру­та с перех­ватом тра­фика. Что каса­ется EIGRP — раз­берем раз­рушитель­ную ата­ку с перепол­нени­ем таб­лицы мар­шру­тиза­ции (что­бы не демонс­три­ровать одну и ту же ата­ку и рас­смот­реть два вари­анта нападе­ния). OSPF мож­но ата­ковать так же, как и EIGRP. Одна­ко сто­ит учи­тывать, что раз­рушитель­ные ата­ки в про­дак­шене менее прак­тичны. Думаю, такой сце­нарий будет полезен для Red Team в качес­тве отвле­кающе­го манев­ра.


Перейти обратно к новости