Поговорим об эмулируемой виртуальной среде EVE-NG, которая используется специалистами по всему миру. Она позволяет предприятиям, поставщикам электронного обучения, частным лицам и группам создавать виртуальные прототипы концепций, решений и учебных сред.

Emulated Virtual Environment – Next Generation (EVE-NG) – это набор инструментов для работы с виртуальными устройствами, построением сетей, коммутацией с реальным оборудованием. Возможности данного продукта позволяют легко использовать, управлять, коммутировать моделируемое сетевое оборудование.

Настройка и проектирование сети

Для установки данной среды моделирования необходимо скачать ее образ с официального сайта и импортировать его на виртуальную машину VMware, так как поддерживается только она.

После успешной установки данного стенда необходимо его запустить, ввести логин и пароль, используя учетку root/eve. Далее отвечаем на стандартные вопросы по настройке ОС и ждем пока система перезагрузиться. Затем переходим по представленному в VM ip адресу в браузере и логинимся, используя учетку admin/eve.






Нас встречает следующее окно, через которое и будет осуществляться работа и настройка всего оборудования.



Создадим простую инфраструктуру для моделирования сетевых атак.
Начнем создание корпоративной сети с трех коммутаторов с представленными ниже значениями.



Далее добавим файрволл, который впоследствии сделаем шлюзом по умолчанию и настроим выход в интернет






Перейдем к созданию тестовых машин и развернем машину, на которой будет установлен kali linux. Добавим windows server и пользовательскую машину с windows 7.








Свяжем все устройства в единую сеть, интерфейсы выставим по умолчанию.



Запустим все устройства и разделим на две сети (внешнюю WAN и LAN внутреннюю)



Перейдем в настройки файрволла: выберем локальную сеть, зададим ipv4 адрес (10.15.15.254/24) непосредственно файрволлу. Включим DHCP сервер, для того чтобы он задал автоматический ip адрес всем машинам внутри локальной сети.






Далее зайдем с машины windows7 на веб-интерфейс файрволла введя в строку его ip адрес.



После успешного ввода логина и пароля нас встречает интерфейс, в котором можно произвести дальнейшую настройку файрволла.



В правилах отключим IPv6 конфигурацию, чтобы не возникло конфликта, так как мы используем IPv4. Перезапустим файрволл для применения настроек.



После проверки соединения с используемой машины видим, что интернет появился. Интернет был проверен с помощью пересылки ICMP пакетов на адрес ya.ru.
С машины, на которой установлен kali linux также есть доступ к интернету.






Моделирование атаки

Настроив собственный стенд, попробуем смоделировать атаку ARP Spoofing.

ARP Spoofing (Address Resolution Protocol Spoofing) – это тип атаки, при котором злоумышленник отправляет ложные ARP-запросы в локальную сеть, чтобы связать свой собственный MAC-адрес с IP-адресом жертвы. Это может привести к перенаправлению трафика на компьютер злоумышленника или созданию MITM (Man-in-the-Middle) атаки. Данная атака будет работать только в том случае, если машины находятся в одной подсети, так как она направлена на уровень L2, следовательно не имеет доступ к IP пакетам.

Просканируем нашу подсеть с kali linux. Видим, что результаты сканирования показывают о наличии нескольких машин внутри данной подсети.



Запустим программу-анализатор трафика для компьютерных сетей Ethernet Wireshark на kali linux и посмотрим будем ли видеть пакеты, которые уходят от Windows7. Как видно из рисунка ниже, пакеты с хоста windows7 не доходят до нас.



Для успешного перехвата трафика необходимо разрешить forwarding пакетов в файле /etc/sysctl.conf. Это позволит получить пакеты, не предназначенные для данного устройства.



Далее с помощью встроенной утилиты в kali arpspoof перенаправим трафик на компьютер злоумышленника. Для этого в утилите укажем номер интерфейса, на котором будет показываться трафик, ip шлюза и ip жертвы, между которыми будут происходить соединения.



Теперь, если мы попытаемся использовать команду ping на компьютере с Windows7, то злоумышленник увидит запросы, передаваемые жертвой



Если зайти на компьютере жертвы на незащищенный сайт по протоколу http, то злоумышленник сможет выгрузить с него все данные, сохранив http выгрузку из Wireshark.






Для того, чтобы детектировать данную атаку на switch необходимо использовать команду:




Bash:


Она позволит нам увидеть перенаправления трафика.



В качестве защиты от данной атаки можно предложить следующие варианты:

• Статическое настройка ARP: настройка ARP-таблицы вручную на всех устройствах в сети, что позволит избежать многих атак ARP Spoofing. Однако, это может быть неудобно в крупных сетях.
  
• Использование ARP Spoofing Prevention Software: существуют специализированные программы и устройства, которые могут автоматически обнаруживать и предотвращать ARP-атаки. Некоторые современные межсетевые экраны (firewalls) и системы обнаружения вторжений (IDS/IPS) имеют такие функции.
  
• Внедрение Secure ARP Protocols: некоторые сетевые протоколы, такие как ARP Spoofing Prevention, позволяют защитить сеть от атак ARP Spoofing, предотвращая манипуляции с ARP-таблицами.
  
• Сетевая изоляция:хорошо сегментированная сеть будет менее восприимчива к ARP Spoofing, так как атака в одной подсети не влияет на другие подсети.
  
• Использование виртуальных частных сетей (VPN): подключение к сети через VPN может обеспечить дополнительный уровень безопасности, так как все данные будут шифроваться и передаваться через защищенный туннель.