danbus
13.12.2024, 20:39
Поговорим об эмулируемой виртуальной среде EVE-NG, которая используется специалистами по всему миру. Она позволяет предприятиям, поставщикам электронного обучения, частным лицам и группам создавать виртуальные прототипы концепций, решений и учебных сред.
Emulated Virtual Environment – Next Generation (EVE-NG) – это набор инструментов для работы с виртуальными устройствами, построением сетей, коммутацией с реальным оборудованием. Возможности данного продукта позволяют легко использовать, управлять, коммутировать моделируемое сетевое оборудование.
Настройка и проектирование сети
Для установки данной среды моделирования необходимо скачать ее образ с официального сайта и импортировать его на виртуальную машину VMware, так как поддерживается только она.
После успешной установки данного стенда необходимо его запустить, ввести логин и пароль, используя учетку root/eve. Далее отвечаем на стандартные вопросы по настройке ОС и ждем пока система перезагрузиться. Затем переходим по представленному в VM ip адресу в браузере и логинимся, используя учетку admin/eve.
https://forum.antichat.xyz/attachments/4938871/1734106759759.png
https://forum.antichat.xyz/attachments/4938871/1734106775374.png
Нас встречает следующее окно, через которое и будет осуществляться работа и настройка всего оборудования.
https://forum.antichat.xyz/attachments/4938871/1734106822519.png
Создадим простую инфраструктуру для моделирования сетевых атак.
Начнем создание корпоративной сети с трех коммутаторов с представленными ниже значениями.
https://forum.antichat.xyz/attachments/4938871/1734106841241.png
Далее добавим файрволл, который впоследствии сделаем шлюзом по умолчанию и настроим выход в интернет
https://forum.antichat.xyz/attachments/4938871/1734106867019.png
https://forum.antichat.xyz/attachments/4938871/1734106985629.png
Перейдем к созданию тестовых машин и развернем машину, на которой будет установлен kali linux. Добавим windows server и пользовательскую машину с windows 7.
https://forum.antichat.xyz/attachments/4938871/1734107021136.png
https://forum.antichat.xyz/attachments/4938871/1734107031662.png
https://forum.antichat.xyz/attachments/4938871/1734107042951.png
Свяжем все устройства в единую сеть, интерфейсы выставим по умолчанию.
https://forum.antichat.xyz/attachments/4938871/1734107062462.png
Запустим все устройства и разделим на две сети (внешнюю WAN и LAN внутреннюю)
https://forum.antichat.xyz/attachments/4938871/1734107076589.png
Перейдем в настройки файрволла: выберем локальную сеть, зададим ipv4 адрес (10.15.15.254/24) непосредственно файрволлу. Включим DHCP сервер, для того чтобы он задал автоматический ip адрес всем машинам внутри локальной сети.
https://forum.antichat.xyz/attachments/4938871/1734107092685.png
https://forum.antichat.xyz/attachments/4938871/1734107096426.png
Далее зайдем с машины windows7 на веб-интерфейс файрволла введя в строку его ip адрес.
https://forum.antichat.xyz/attachments/4938871/1734107115473.png
После успешного ввода логина и пароля нас встречает интерфейс, в котором можно произвести дальнейшую настройку файрволла.
https://forum.antichat.xyz/attachments/4938871/1734107124104.png
В правилах отключим IPv6 конфигурацию, чтобы не возникло конфликта, так как мы используем IPv4. Перезапустим файрволл для применения настроек.
https://forum.antichat.xyz/attachments/4938871/1734107140432.png
После проверки соединения с используемой машины видим, что интернет появился. Интернет был проверен с помощью пересылки ICMP пакетов на адрес ya.ru.
С машины, на которой установлен kali linux также есть доступ к интернету.
https://forum.antichat.xyz/attachments/4938871/1734107162735.png
https://forum.antichat.xyz/attachments/4938871/1734107179860.png
Моделирование атаки
Настроив собственный стенд, попробуем смоделировать атаку ARP Spoofing.
ARP Spoofing (Address Resolution Protocol Spoofing) – это тип атаки, при котором злоумышленник отправляет ложные ARP-запросы в локальную сеть, чтобы связать свой собственный MAC-адрес с IP-адресом жертвы. Это может привести к перенаправлению трафика на компьютер злоумышленника или созданию MITM (Man-in-the-Middle) атаки. Данная атака будет работать только в том случае, если машины находятся в одной подсети, так как она направлена на уровень L2, следовательно не имеет доступ к IP пакетам.
Просканируем нашу подсеть с kali linux. Видим, что результаты сканирования показывают о наличии нескольких машин внутри данной подсети.
https://forum.antichat.xyz/attachments/4938871/1734107268234.png
Запустим программу-анализатор трафика для компьютерных сетей Ethernet Wireshark на kali linux и посмотрим будем ли видеть пакеты, которые уходят от Windows7. Как видно из рисунка ниже, пакеты с хоста windows7 не доходят до нас.
https://forum.antichat.xyz/attachments/4938871/1734107282676.png
Для успешного перехвата трафика необходимо разрешить forwarding пакетов в файле /etc/sysctl.conf. Это позволит получить пакеты, не предназначенные для данного устройства.
https://forum.antichat.xyz/attachments/4938871/1734107298965.png
Далее с помощью встроенной утилиты в kali arpspoof перенаправим трафик на компьютер злоумышленника. Для этого в утилите укажем номер интерфейса, на котором будет показываться трафик, ip шлюза и ip жертвы, между которыми будут происходить соединения.
https://forum.antichat.xyz/attachments/4938871/1734107316799.png
Теперь, если мы попытаемся использовать команду ping на компьютере с Windows7, то злоумышленник увидит запросы, передаваемые жертвой
https://forum.antichat.xyz/attachments/4938871/1734107339865.png
Если зайти на компьютере жертвы на незащищенный сайт по протоколу http, то злоумышленник сможет выгрузить с него все данные, сохранив http выгрузку из Wireshark.
https://forum.antichat.xyz/attachments/4938871/1734107356141.png
https://forum.antichat.xyz/attachments/4938871/1734107364378.png
Для того, чтобы детектировать данную атаку на switch необходимо использовать команду:
Bash:
ip
arp inspection vlan
1
.
Она позволит нам увидеть перенаправления трафика.
https://forum.antichat.xyz/attachments/4938871/1734107380743.png
В качестве защиты от данной атаки можно предложить следующие варианты:
Статическое настройка ARP: настройка ARP-таблицы вручную на всех устройствах в сети, что позволит избежать многих атак ARP Spoofing. Однако, это может быть неудобно в крупных сетях.
Использование ARP Spoofing Prevention Software: существуют специализированные программы и устройства, которые могут автоматически обнаруживать и предотвращать ARP-атаки. Некоторые современные межсетевые экраны (firewalls) и системы обнаружения вторжений (IDS/IPS) имеют такие функции.
Внедрение Secure ARP Protocols: некоторые сетевые протоколы, такие как ARP Spoofing Prevention, позволяют защитить сеть от атак ARP Spoofing, предотвращая манипуляции с ARP-таблицами.
Сетевая изоляция:хорошо сегментированная сеть будет менее восприимчива к ARP Spoofing, так как атака в одной подсети не влияет на другие подсети.
Использование виртуальных частных сетей (VPN): подключение к сети через VPN может обеспечить дополнительный уровень безопасности, так как все данные будут шифроваться и передаваться через защищенный туннель.
Emulated Virtual Environment – Next Generation (EVE-NG) – это набор инструментов для работы с виртуальными устройствами, построением сетей, коммутацией с реальным оборудованием. Возможности данного продукта позволяют легко использовать, управлять, коммутировать моделируемое сетевое оборудование.
Настройка и проектирование сети
Для установки данной среды моделирования необходимо скачать ее образ с официального сайта и импортировать его на виртуальную машину VMware, так как поддерживается только она.
После успешной установки данного стенда необходимо его запустить, ввести логин и пароль, используя учетку root/eve. Далее отвечаем на стандартные вопросы по настройке ОС и ждем пока система перезагрузиться. Затем переходим по представленному в VM ip адресу в браузере и логинимся, используя учетку admin/eve.
https://forum.antichat.xyz/attachments/4938871/1734106759759.png
https://forum.antichat.xyz/attachments/4938871/1734106775374.png
Нас встречает следующее окно, через которое и будет осуществляться работа и настройка всего оборудования.
https://forum.antichat.xyz/attachments/4938871/1734106822519.png
Создадим простую инфраструктуру для моделирования сетевых атак.
Начнем создание корпоративной сети с трех коммутаторов с представленными ниже значениями.
https://forum.antichat.xyz/attachments/4938871/1734106841241.png
Далее добавим файрволл, который впоследствии сделаем шлюзом по умолчанию и настроим выход в интернет
https://forum.antichat.xyz/attachments/4938871/1734106867019.png
https://forum.antichat.xyz/attachments/4938871/1734106985629.png
Перейдем к созданию тестовых машин и развернем машину, на которой будет установлен kali linux. Добавим windows server и пользовательскую машину с windows 7.
https://forum.antichat.xyz/attachments/4938871/1734107021136.png
https://forum.antichat.xyz/attachments/4938871/1734107031662.png
https://forum.antichat.xyz/attachments/4938871/1734107042951.png
Свяжем все устройства в единую сеть, интерфейсы выставим по умолчанию.
https://forum.antichat.xyz/attachments/4938871/1734107062462.png
Запустим все устройства и разделим на две сети (внешнюю WAN и LAN внутреннюю)
https://forum.antichat.xyz/attachments/4938871/1734107076589.png
Перейдем в настройки файрволла: выберем локальную сеть, зададим ipv4 адрес (10.15.15.254/24) непосредственно файрволлу. Включим DHCP сервер, для того чтобы он задал автоматический ip адрес всем машинам внутри локальной сети.
https://forum.antichat.xyz/attachments/4938871/1734107092685.png
https://forum.antichat.xyz/attachments/4938871/1734107096426.png
Далее зайдем с машины windows7 на веб-интерфейс файрволла введя в строку его ip адрес.
https://forum.antichat.xyz/attachments/4938871/1734107115473.png
После успешного ввода логина и пароля нас встречает интерфейс, в котором можно произвести дальнейшую настройку файрволла.
https://forum.antichat.xyz/attachments/4938871/1734107124104.png
В правилах отключим IPv6 конфигурацию, чтобы не возникло конфликта, так как мы используем IPv4. Перезапустим файрволл для применения настроек.
https://forum.antichat.xyz/attachments/4938871/1734107140432.png
После проверки соединения с используемой машины видим, что интернет появился. Интернет был проверен с помощью пересылки ICMP пакетов на адрес ya.ru.
С машины, на которой установлен kali linux также есть доступ к интернету.
https://forum.antichat.xyz/attachments/4938871/1734107162735.png
https://forum.antichat.xyz/attachments/4938871/1734107179860.png
Моделирование атаки
Настроив собственный стенд, попробуем смоделировать атаку ARP Spoofing.
ARP Spoofing (Address Resolution Protocol Spoofing) – это тип атаки, при котором злоумышленник отправляет ложные ARP-запросы в локальную сеть, чтобы связать свой собственный MAC-адрес с IP-адресом жертвы. Это может привести к перенаправлению трафика на компьютер злоумышленника или созданию MITM (Man-in-the-Middle) атаки. Данная атака будет работать только в том случае, если машины находятся в одной подсети, так как она направлена на уровень L2, следовательно не имеет доступ к IP пакетам.
Просканируем нашу подсеть с kali linux. Видим, что результаты сканирования показывают о наличии нескольких машин внутри данной подсети.
https://forum.antichat.xyz/attachments/4938871/1734107268234.png
Запустим программу-анализатор трафика для компьютерных сетей Ethernet Wireshark на kali linux и посмотрим будем ли видеть пакеты, которые уходят от Windows7. Как видно из рисунка ниже, пакеты с хоста windows7 не доходят до нас.
https://forum.antichat.xyz/attachments/4938871/1734107282676.png
Для успешного перехвата трафика необходимо разрешить forwarding пакетов в файле /etc/sysctl.conf. Это позволит получить пакеты, не предназначенные для данного устройства.
https://forum.antichat.xyz/attachments/4938871/1734107298965.png
Далее с помощью встроенной утилиты в kali arpspoof перенаправим трафик на компьютер злоумышленника. Для этого в утилите укажем номер интерфейса, на котором будет показываться трафик, ip шлюза и ip жертвы, между которыми будут происходить соединения.
https://forum.antichat.xyz/attachments/4938871/1734107316799.png
Теперь, если мы попытаемся использовать команду ping на компьютере с Windows7, то злоумышленник увидит запросы, передаваемые жертвой
https://forum.antichat.xyz/attachments/4938871/1734107339865.png
Если зайти на компьютере жертвы на незащищенный сайт по протоколу http, то злоумышленник сможет выгрузить с него все данные, сохранив http выгрузку из Wireshark.
https://forum.antichat.xyz/attachments/4938871/1734107356141.png
https://forum.antichat.xyz/attachments/4938871/1734107364378.png
Для того, чтобы детектировать данную атаку на switch необходимо использовать команду:
Bash:
ip
arp inspection vlan
1
.
Она позволит нам увидеть перенаправления трафика.
https://forum.antichat.xyz/attachments/4938871/1734107380743.png
В качестве защиты от данной атаки можно предложить следующие варианты:
Статическое настройка ARP: настройка ARP-таблицы вручную на всех устройствах в сети, что позволит избежать многих атак ARP Spoofing. Однако, это может быть неудобно в крупных сетях.
Использование ARP Spoofing Prevention Software: существуют специализированные программы и устройства, которые могут автоматически обнаруживать и предотвращать ARP-атаки. Некоторые современные межсетевые экраны (firewalls) и системы обнаружения вторжений (IDS/IPS) имеют такие функции.
Внедрение Secure ARP Protocols: некоторые сетевые протоколы, такие как ARP Spoofing Prevention, позволяют защитить сеть от атак ARP Spoofing, предотвращая манипуляции с ARP-таблицами.
Сетевая изоляция:хорошо сегментированная сеть будет менее восприимчива к ARP Spoofing, так как атака в одной подсети не влияет на другие подсети.
Использование виртуальных частных сетей (VPN): подключение к сети через VPN может обеспечить дополнительный уровень безопасности, так как все данные будут шифроваться и передаваться через защищенный туннель.