За сколько можно взломать мобильную сеть?
Надежно ли электронное правительство
в эпоху WikiLeaks и Anonymous?

Взлом АСУ ТП – голливудские байки
или реалии сегодняшнего дня?
Интернет-банкинг – возможна ли победа
в битве с мошенниками?

Киберпреступность, кибершпионаж, кибервойна. Где грань?

среда, 4 апреля 2012 г.

Строим сеть для хакеров

Часть 1. Земля

11 мая 2011 года, до форума Positive Hack Days остаётся одна неделя. Всё идёт почти по плану: помещение арендовано, гости приглашены, задания придуманы. Один из спонсоров привёз огромную HP-пишную корзину с блейдами, несколько коммутаторов Cisco Catalyst 2960, точки доступа и беспроводной контроллер WLC. Оборудование сложили в виде Пизанской башни, но даже включать не стали. Решили, что пока нет ни одного L3 коммутатора – настраивать считай нечего.

На следующий день прибыла партия 2960, один Catalyst 3750, коробка патч-кордов и удлинителей. Пришло время начать работу и сделать сеть. На сайте PHD были найдены схемы залов, в которых планировалось проведение форума. Само собой без информации о длине стен в метрах, а лишь с указанием игровых зон и мест проведения семинаров. Через час мозгового штурма был готов первый вариант схемы сети (Рис. 1).

Рис. 1 - Первый вариант схемы сети.

То, что представляла сеть в итоге, имело мало общего с показанным выше наброском. Коллеги, работающие в крупных системных интеграторах, утверждают, что этот парадокс – абсолютная норма и на деле проектирование и внедрение – это два совершенно не связанных друг с другом процесса. Все рисуют схемы для души, а собирают и настраивают уже как получится. Самые опытные говорят, что это не по ГОСТу и так работать нельзя.


Рис. 2 – Главное – все тщательно спланировать!

В нашем случае на первоначальном месте остался только коммутатор Catalyst 3750 и логика работы. Так как L3 коммутатор был один, сеть не была отказоустойчивой: 3750 был «ядром» сети, агрегировал LACP-аплинки от коммутаторов доступа и маршрутизировал трафик между VLAN-ами. В качестве коммутаторов доступа использовались шесть или семь штук 2960. Архитектура простая и понятная, больше про неё рассказать нечего.

К концу дня сложенные в стопку коммутаторы были запутаны в зарослях патч-кордов, однако до шедевров ужастиков СКС эта картина ещё не дотягивала (Рис. 3). Параллельно настраивались компоненты беспроводной сети, но закончить и соединить всё воедино решили в пятницу 13-го.


Рис. 3 - Первый вариант схемы сети 

«Positive Hack Days CTF — это соревнования по защите информации и учувствуют в нём не безобидные студенты!» Примерно так сказал Дима Евтеев, давая нам понять, что было бы неплохо сделать сеть максимально защищённой от возможных действий пользователей.

Так в настройках коммутаторов появились строки, горячо рекомендуемые производителями сетевого оборудования, но незнакомые большинству сетевых администраторов:

vtp mode off
ip dhcp snooping vlan 116-117,150-151,200
ip arp proxy disable
ip arp gratuitous none
service password-encryption

ip ssh time-out 60
ip ssh authentication-retries 4
ip ssh version 2
interface Vlan100
ip address 192.168.0.100 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp

interface FastEthernet0/3
switchport access vlan 100
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security aging time 10
switchport port-security violation restrict
switchport port-security aging type inactivity
spanning-tree portfast
spanning-tree bpduguard enable

no ip http server
ip access-list standard Mngt_Access
permit 172.16.0.0 0.0.0.255 log
deny any

line vty 0 4
access-class Mngt_Access in
login local
transport input ssh

и так далее и тому подобное. Подробнее, как говорится, на cisco.com.

Пятница 13-е не была бы собой, если бы не преподнесла неприятный сюрприз. Стокилограммовая корзина HP всем сразу не понравилась, нести её из грузовика до офиса было тем ещё развлечением. Второй «положительной» характеристикой устройства после веса оказалось наличие в нём коммутатора HP c-Class GbE2c Switch, которого никто из наших «сетевых» специалистов раньше не видел. И вот пятница, восемь вечера, хочется уйти с работы и забыть дорогу к офису до понедельника, а перед глазами Рис. 4.

Рис. 4 – «Сюрприз»

После поиска по сайту производителя появилась возможность ознакомиться с объёмной документацией по продукту, но пересилить себя и разобраться с незнакомой железкой в тот вечер не удалось. Пришлось отложить до понедельника.

Понедельник, 16 мая, до PHD три дня, из них один на настройку коммутатора HP, так как 17-го всё оборудование вроде как уезжает на место проведения форума.

Как внутри корзины связаны блейд-сервера, сам коммутатор и его внешние порты? В корзине четыре сервера, значит надо от коммутатора до сети предоставить хотя бы двух гигабитный аплинк, как? Глаза боятся, а руки делают. Два часа побились головой об стену и в результате заработал EtherChannel с LACP между коммутаторами HP и Catalyst.


Рис. 5 – Второй вариант сети

17-го мая железки никуда не уехали, а были оставлены в душной комнате пентестеров проходить тестирование ультрафиолетом от весеннего солнца.

18-го мая в 12 дня у стойки ресепшен клуба "Молодая гвардия" собрались, наверно, два самых ответственных сотрудника в PT. Собрались и стали ждать остальных, не подозревая, что почти до самого вчера им придётся работать грузчиками и чернорабочими. К часу дня подтянулись остальные коллеги, приехали грузовые машины со всякой всячиной. Без перерыва на обед, но с постоянными перекурами, специалисты по ИБ, аудиторы, консультанты, аналитики и один технический директор разворачивали инфраструктуру PHD на двух этажах клуба.


Рис. 6 – Что легче, килограмм свитчей или килограмм виски? Одинаково, но виски нести приятней!

Потребовалось на это часов десять, против запланированных четырёх – пяти, так что расходились по домам уже ближе часу ночи.


Рис. 7 – Ахтунг! Идет монтаж!

Дома, ближе к трём часам ночи меня посетила пугающая мысль: «Какого чёрта я не повесил списки управления доступом между VLAN-ами?» Завтра, 19-го числа в девять утра начнётся соревнование и доступ к сети получат умники из разных стран мира, а в нашей сети даже трафик между сегментами не ограничен. Вот «забавно» будет, если кто-нибудь выйдет за пределы сети CTF и хакнет хосты организаторов.


Рис. 8 – «Небезобидные» студенты ломают сеть. В ход пошли угрозы 

Утром я спешил на PHD и планировал за час до начала соревнования повесить ACL и всё проверить, но попал в пробку и приехал к восьми тридцати. В итоге сеть была относительно защищена и готова к использованию только за 15 минут до начала CTF. Перед запуском прогнали всю сеть через MaxPatrol, выловили несколько багов, спешно поправили, постучали по дереву и скрестили пальцы.


Рис. 9 – Эх, не возьмут нас в банкиры… MaxPatrol сказал, что PCI DSS не выполняем 

Радует, что сеть свои функции как будто выполнила и частично упала только один раз, когда злоумышленник отлучил питание одного из коммутаторов.

Часть 2. Воздух! 

Для чего вообще нужна была беспроводная сеть?

Первоначально планировали обойтись без нее, но когда я запутался в проводах, и чуть не произошло непроизвольное удушение (см. фото), решили все-таки развернуть беспроводную сеть.


Рис. 10 – Зачем нужен WiFi? 

К счастью оказалось, что наши уважаемые спонсоры в партии поставили нам все необходимое оборудование.

Отмечали это событие 2 дня.


Рис. 11 – За вай-фай!

Далее пришлось более детально изучить, с чем же придется работать:
- в качестве управления использовался Cisco Wireless LAN Controller 2106;
- точки доступа: Cisco LAP 1131.


Рис. 12 Воздушные железки 

При настройке оборудования руководствовались как best practice от производителя оборудование, так и своим экспертным мнением.

Например:
  • Протокол управления точками доступа: CAPWAP.
  • Отключены все неиспользуемые службы: HTTP, Telnet, CDP.
  • Удалены стандартные учетные записи:
      SNMPv3: пользователь: default, пароль: default
      SNMPv2c: строка подключения: public, private
  • Сети разрезаны по VLAN, трафик жестоко отфильтрован.
И т.д.

После «обезопасивания» всего оборудования на душе стало легко и спокойно. А посему спокойно пошел домой. 18-го мая (1 день до PHD). Я бы назвал этот день: Собрать сеть за 900 минут.

Представить, что в здании, в котором совсем недавно (лет 50 назад) наши бабушки и дедушки танцевали, знакомились и влюблялись, будет проходить такое событие, я никак не мог…


Рис. 13 До нас 

Внутри все преображалось на глазах.


Рис. 14 С нами 

Но нашей основной целью была: стабильная, надежная и безопасная сеть. Что и было, надеюсь сделано. Для беспроводной сети на Cisco WLC был поднят DHCP сервер, чтобы для пользователей было все прозрачно: пришел, подключился, залез в интернет, увидел свой пароль на «доске позора» ;)

Там, где не было возможности обеспечить точки доступа питанием 220V, использовались порты WLC, которые поддерживали PoE. К счастью, таких мест было 2 и портов также было 2. Остальные точки доступа подключались к портам коммутаторов.

В 2 часа ночи все работы были завершены и мы разъехались по домам. До PHD оставалось 6 часов…

Как обычно бывает, после того как покинул стены здания в голову приходят гениальные мысли: сделать то-то, не забыть проверить то-то. Поэтому после возвращения в «Молодую гвардию» в 8:30 (я тоже опоздал :) ) сидеть сложа руки не пришлось. Видимо, из-за переживаний (я не заплатил налог за автомобиль) я забыл пароль!

Как хорошо, что все время за нами следил местный папарацци:


Рис. 15 Как не забыть пароль? 

PS. Ах, да! Совсем забыл, что за день до PHD у Андрея было день рождение, что еще более позитивно отразилось на подготовке к выставке ;)



Рис. 16 Wi-Fi работал нормально! Антенна ей для другого!

Комментариев нет:

Отправить комментарий