takže ještě jednou a hezký den
jak bylo řečeno M N matěj grégr někteří z vás možná
a měli to potěšení číst ty články mě a mého kolegy na luke ohledně šest
bity
a skutek skutečně ve se popisovali nějaké základní informace
a tady tahle prezentaci se podíváme
na
některé útoky které se dají pomocí
E graph deskového protokolu použít jak se proti nim bránit a jaké to má další
omezení obecně ta šestková bezpečnost je vnímána není
dosti specificky
lidé kteří se snaží
šest propagovat
a angličtina to je pěkný název manželi
a ve výsledku
říkají že to není problém že stejné věci za měli people eště ste taky
a názor nechci udělá každý sám možná po skončení téhle prezentace
jo na začátku než se pustíme do těch šest k ových útoku
ta
si dovolím rychlosti projít určite ní podobné scénáře které máme výpravě štyřce abychom se synchronizovali
nějak pojmech toho co používáme za technologie a
jak se proti víceméně stejný útoku know podobný útok ubráníme štyřce
celá ta bezpečnost pohledu síťového administrátora záleží
vlastně na
nebo ten síťový administrátor se snažil několika věcí primárně nám jde o to aby
uživatel dostal adresu
o chodí dostane tak abychom miss pohledu administrátora zabránili tomu aby si jediný uživatel tu
adresu přivlastnil to znamená podvržení adresy
chceme zabránit menu velmi do útoku
a chceme víceméně ochránit naše prvky které jsou sítě to znamená si čárou ty
to znamená celá ta
bezpečnost pohledu toho klienta se nebo o počet tomu klientovi se řeší na základě a
autokonfigurace jenom pro připonme nití aute štyřky máme vlastně
a já C penis klient se připojí do sítě text každá sebe si zjistí a
adresu potom přes R T si zjistí adresu nebo mac adresu implicitní brány a následně
potom
o nějakých třeba zde dosazen může normálně běžně komunikovat
abychom dokázali
zajistit
bezpečnost tak se vlastně nasazuju techniky kterým se obecně říká for zlo překryty kterým chceme
ve výsledku zabránit
podvržení tady tu P
tyhle techniky se používají co nejblíže k tomu koncovému klientovi aby
jakékoliv podvrhy se řešily přímo na tom
připojení s větší ve výsledku tak torzo překryty nám řeší
ukradení adresy to znamená podvržení adresy aipí a podvržení adresy mac
otrávení R T různé skladovací mechanismy zahlcení keše vo switche a podobný věci
řeší nám také falešné relace P server je to znamená pokuď mi nějaký klient nebo
nějaký útočník připojit do sítě
zařízení tvářící se jako dá C P server a snaží se opakovat informace
klientům
nějaké svoje vlastní přesměrovali na vlastní stránky a podobně
ve výsledku používáme několik technik P jedna s první dvě porce kvality jenom zjednodušeně řečeno
a když předkonfigurované je nebo pomocí nějakých triku mi zajistíme že na portu nemůže být
na portu switche nemůže být použita jiná adresami si administrátor pře
další technikou je a když cítíš sloupy tím ve výsledku vnucuje M
nebo na základě ten původní výměny se skrz DHCP switch odposlech ne tady tu a
komunikaci a je schopen říct na tom a portů je tahle ani ty adresa tahle
mac adresa a žádná jiná
se nemůže použít všechny tyhle informace se ukládají do tak zvané
když si P sloupy databáze kterou sime než u je nebo kterou spravuje ten daný
switch
na základě tady této databáze a případně použité porce k výpisu využíváme dva mechanismy a
proto je a
a epilog dám záleží výrobce od výrobce někdo tomu někde se to menuje takže N
jinde ona ve výsledku oba dva mechanismy využívají tu vytvořenou databázi skrz D C E
na to aby zabránili
o paketů
no aby zabránili útočníkovi zaslat jiný paket s jinou podvrženou I jede jsou z jiného
odtrženo mac adresou
když zkombinujeme tyto mechanizmy
otce kvality sloupy případně
a pro tech
a získáme tím ve výsledku pro administrátora to že do sítě se není schopen připojit
jiný klient než ten který je nakonfigurovaný na dáte P server
to znamená pokud nemá ten administrátor nad C P server o konfiguraci prodaného klienta tak
je mu z nemůže na vůbec připojení do té dané sítě
ve výsledku zatím chráníme před útočníkem
špatnou konfigurací a nakonec se straně
špatně miloval těmi síťových karet protože ve výsledku
a rámce nebo pakety které jsou zaslané klientem které sou nějakým způsobem podvržené změněné tak
sou daným prvkem zařazovány
s tím že
částečně se tak dá eliminovat určité viry
případně červy které se šíří a které se často před generová Y mac adresy a
snaží se zahltit a keše nás směrovačích
u dají tadle šestky je ta situace trošku odlišná a pro jednotlivé útoky budeme nadále
využíván dvě vlastnosti šest i a to je
rozdělí způsob konfigurace které nejprve šest protokol nabízí
a
to že síťové rozhraní může mít více hýbeme šest adres
tady tenhle rozdělí způsob
já si nebudu zacházet přímo do detailů protože ohledně té šestky a ty základních jim
informací už bylo řečeno do s
o díváme se spíš přímo na ty reálné
útoky
jenom pro porovnání autokonfigurace ve
jdeme čtyři versus ní P V šest
nejprve štyřky nesjel na začátku řekli máme dáte P R T C P
u té Í pravé šestky je stejná konfigurace pro jednoho klienta trošičku složitější
je to ve výsledku jedna protože
se používá kombinace bezstavové stavové
a
konfigurace to znamená bezstavová skrz router advertisement sdělíme klientovi
adresu implicitní brány skrz D S C PC získáme adresu
pro toho daného klienta případně nějaké další informace jako sou ten servery a tak podobně
všechno je to navíc provázané z multicastem protože v šestce sme si
teoreticky eliminovali proud cast a nahradili to všechno multicastová bychom za
sme si do té sítě jako kdyby pohledu síťaři lepší pořádek že s pakety jsou
doručovány opět jenom těm zařízení
tak si to ve výsledku není zas až tak pravda protože
máme multicastovou adresu všechny uzly síti se znamená de facto pro odkaz
switche v dnešní době
o tom
zařízení třeba soudci s K
celkom z nepodporují anode sloupy to znamená stejné se ten multicastu že jako proutkař
to znamená sme tam kde sme byli ve výsledku
nicméně proto aby to všechno správně korektně fungovalo tak zařízení si musí
přihlásit do multicastových skupin aby bylo schopno odebírala odebírat ty dva zprávy které jsou šířené
to znamená jsou tady nějaké a na neděli
a potom
pro jednotlivé šest nové adresy které to zařízení mám jedná se ve výsledku link local
na začátku nese pošlou všechny zprávy se
a posílat kliky adres de teče testuju na síti jestli ta adresa je nebo není
unikátní pokuď není tak musím použít jinou nebo ukončit konfiguraci
o tom použiju bezstavovou konfiguraci state pole s adres autokonfiguraci všem je pomocí proud zeptáš
mens router
což je ten zpráv získávat informaci o default gateway a
a případně to jestli sítí se používá nebo nepůjde ladicí i
pokud se používá text kazdy jestli P se
zeptám na adresu následně ty adresy které jsem obdržel tak se musím přihlásit do jejich
odpovídající multicastových skupin a opět pro tyhle adresy získat přestupek adres detekčním získám unikátnost nebo
ne
a následně potřebuju získat mac adresu implicitní brány abych potom mohl komunikovat
do jisté míry
stejná věc nerozladili ve čtyřce jsme akorát
podstatně za složitele šestce
a benefit tady vtom ale pro toho koncového uživatele případně pro správce není zas až
tak markantní to znamená tady nově z řeším stejně akorát připraví s pak
poďme se podívat co můžeme
klientovi způsoby za těžkosti v rámci vypere šest
jako jsem ukázal na předchozím slajdu
vždycky se používá
pro získání
unikátnosti dané sítě nebo pro otestování duplikuji adrese takže ve výsledku já se ptám používá
vsíti někdo tuhle adresu pokuď už i někdo používá tak mi odpoví ano adresou push
používám to znamená já ju nemůžu použít
díky tomu že si ve výsledku můžu generovat vcelku libovolné množství adres protože ten adresový
prostor používaný v lokální sítě velký si můžu vygenerovat novou adresou zeptat se znovu
nicméně útočníkovi vůbec nebrání nic tomu aby opět odpověděl na toho adresu
okej používám to znamená je dál
ve výsledku asi dá rozum že nemůžeme takle se snažit tento bit jeho zprávy generovat
donekonečna to znamená čas od času ten klient usoudí tak tady mě asi pšenka nepokvete
a ukonči tu komunikaci
jednoduchým příkazem zkres čtecích toolkit
tady tohle dokáže na obrovské konzoly obou popsat asi každý ve výsledku zamezíme všem klientů
a
přístup do sítě jak to potom vypadá praxi
zeptám se jestli někdo používá nějakou a adresu odpoví muže adresou že používaná vygeneruje se
nová odpoví se že adresa je používána a tak dále čemu to pak vede
ve výsledku
já sice mám nakonfigurovanou šestkou gateway to znamená šest a my běží nicméně šestku vůbec
nemám nakonfigurovanou jako adresu ten systém takže to windows mac nebo
do kojit
zdá ve výsledku ty pokusy a řekne že šestku si nepochybovat nemůže
záleží platformě platformy jo na platformě
windows
to zkouší pětkrát ve výsledku je to s plus mínus dle standardu ref céčka že
to mám vyzkoušet několikrát a potom nic administrátorovi že už to opravdu nelze
pokračovat linux povětšinou to naprosto ignoruje asi tato tam volaného to znamená vemu celku jedno
že je tam že není unikátní nicméně opět záleží na distribuci anatomy ste tam použity
nějaký
a ne že jste ta adresa nakonfigurována staticky a tak dál
co se týče směrovačů
odchyluji H precis K případě jiných
ve většině případů
se ptá adresa která je nakonfigurována nepoužívá znamená Z tak vcelku jednoduše zabránit použití
šestkou ve adresy nebo zabránění klienta přístupu šestky
další zábavné určitě
ignoruje že je takže není unikátní to znamená tu adresu používá i přestože nastat teda
ne síti
zahlásí administrátorovi že je tam kolize nicméně o používaná
další zábavný útok který se dá použít je
router advertisement flat a pokuď
si nebo
M řeknu ty na okraj ty proud advertisment zprávy zasílají povětšinou směrovače
s tím že šíří informace o tom že oni jsou cestou do internetu a jaké
prefixy šestko ve se na ten síti můžou použít
pro klienta přijetí této zprávy znamená že adresu ze které přišla si vkládá do svého
routeru list to znamená jako
ja jako adresu ty von gateway s tím že ty prefixy pokud je to povoleno
tak v rámci toho prefixu si vygeneruje vlastně šestkou adresu
pokud je tam tento
opět trochu jednoduchý příklad
tak
dojde k tomu že se do sítě začne poslala posílat
nemalé množství tady těchto zpráv to znamená že ty klienti si pro každou tuto zprávu
musí vytvořit záznam ve své a směrovací tabulce vygenerovat adresy a tak podobně
ve výsledku ze tak vcelku jednoduše zabránit přístupu
a nebo znemožnit
uživateli vůbec tím pracovat já si tady s dovolením
s tím video
tady je ukázka
potom běží
a systému windows kde vlastně použiju ten daný příka
a vidím že
dělá se na nějaké simpsny zatížení teploučka je na nějaké různé úrovni
za středu do té sítě
tady tenhle flat ve výsledku
C P O se zvýší na sto procent za chvíli se zasekne trošku video
existence stane neovladatelný u nových windows Ú dokonce třeba sou smyček spadnou
a
a ve výsledku vidím že sme přestane ji čas jedna
a
pokud se podíváte tak já tam generuju přibližně sto kilo za sekundu a díky tomu
že se ten les že se takhle paket doručuje pomocí multicastu tak zasáhnu všechny klienty
síti
bez omezení
to znamená
tak zajímavé když chcete na čtvrt administrátora tak lze použít tady tento útok
opět vcelku jednoduše realizovatelné na jakékoliv linuxové platformě
jo
poslední verze toho nebo třeba sedmičky už mají večer takové že po skončení toho útoku
C
vcelku stabilizují občas taky ne
a může se potom ten systém na používat mac i třeba se musí restartovat jestli
máte to štěstí a tak dál
tak
to byla jedna věc a posune se
a
na čelo ve výsledku nebo a záleží na tom jestli chcete nebo nechcete porušovat F
C S a standarty linux o tak většinou dělá
že na omezení že může
vložit do té paměti přibližně třicet směrovačů s tím že a další už nepřímá samozřejmě
je to
takový ten of protože já nejsem schopen zajistit který je ten správný to znamená potom
ve výsledku ale linuxy jako vy jediný ten útok ve výsledku stojí díky tady tomu
že po třiceti záznamy push další nepřímá
jo promiň
otázka tedy zněla jestli by nestačil nastat
nastavit jenom nějaký rate limity záznamů cache
zabavme na tomhle problému je že se o něm V přibližně tři roky a
jak to funguje si dokážete představit
a
útok který dokázal původně se do taková slabší verze protože na základě toho některé systémy
třeba schopen B Z nebo takle implementovali
nějaké kontroly ve výsledku
a o ten původní útok končil
jenom tady těmi zprávy ta práce toho router advertisment paketově sem říkal prefixy
jenomže další ovšem která já můžu použitou to advertisement je
říct mu které routery
může které sítě používá to znamená nejenom si že si musím vytvořit záznam ukazující na
disku odrou
a nejenom že si pro tyhle adresy musím vytvoříš
vlastně šestko adresu a nicméně pro všechny tyhle informace já si musím za will vytvořit
další záznam do směrovací tabulky a tím pádem ta náročnost na výpočetní na to klienta
ještě vyšší
nicméně ne končíme pouze vidíme
díky tomu že používáme systémy
windows sedum vista
linux mac android a jo
všechny dva systémy mají podporu být a ve šest
implicitně zapnutou
využijeme tady více méně tady toho a
sestavme si jakoukoliv síť vyplaveš tečkou vyplaveš eskou je to ve výsledku jednu
a do této sítě
zašleme vlastní to ultramontanizme paket kde v říkáme
vezmi si informace další zde hladce parseru šestková
díky tomu že tam a pak je přijde klientovi klient se zeptat zda C P
cosi mimochodem řeknu že standard se to jsem samozřejmě já tak já mu jsem schopen
vnutit
předkové adresy D neseru
dejme tomu díky tomu potom
dotaz skrz DNS směřuje na mě tam vrátím odpověď jakou chci vytvořím si transparentní praxi
dejme tomu a
celý ten provoz sem vlastně vytvořil jsem menu velmi touto
zjednodušeně řečeno
pokuď se normálně klasické sítě připojím na obr C Z tak dostanu skrz
den s nějakou
regulérní adresu a trefí kde takto
pokuď vložím do té sítě
falešný router advertisement kdy mu říkám použít já teprve šest server kterým jsem já
tak
tady je
se ten zeptá pomocí kamery jaké se používají den servery a já mu samozřejmě odpovím
že ten server sem já veškerý provoz potom na síť vutbr C Z pochodě pod
a bude směřovat na mě protože DNS dotazu se mu podvedl ani ty adresu která
je moje
tady tahle útok se dá realizovat
i na špičkové síti nemusí mu mít vůbec českou odporu protože to šestkou podporu mám
na těch zařízení
já ten provoz potom přesměruj tam nechci nebo zahodí nebo si udělám cokoli
opět si ukážeme nějaké zabodne video
a
určitě
a
tak
odnese tady podívat na to jaká je implementace vidím ve listová sem si na zařízení
že
má nastavenou čtyřkou adresu
s tím že ten server je nastavený na nějakou adresu deset jedna který je normální
pokuď zadává normálně nějaký klasický je N zvuk a třeba znaků byl C com tak
mi ten D neztrácí regulerní odpovědi tak jak sem zvyklí
a
pokud si spustí takové předpřipravené skript díky projdem si je podrobněji s tak
a
ve výsledku
zdraví zotavitelné
první si spustí není to znamená DNS server na u svého na počítači s tím
že mu pro nějaké zóny které chci podvrhnout google odběr fenku nebo cokoliv to přesměruj
u že tyhle zóny obsluhu já
další
pokud se podívám jak vypadá
vlastně ta falešná zrovna tak veškeré dotazy které tam jsou to přesměruji na vyplaveš tužkou
adresu toho útočníka
který se používá
já potom vidím že pole adresu používá jámami opravdu nakonfigurovanou
a další věc která spouštím je skryt
rok si řeší ty P na to abych mohl ten traffic přeposílat případě vstupovat
dalším způsobem a nebo spouští
dělící P šestákový server s tím že v rámci těch informací
ten šíři
jsou adresy kdy chci P není si to znamená
já mu hicu velké množství adres je to je v jedné stop je to z
důvodu toho že windowsy dělají bajty foreground robin při dotazování pokud jich má víc takže
a tím já lemují vnutím víc abych měl větší šanci toho že mléčné ten můj
časový záznam tady vidím že všechny tyhle adresy sem si nakonfigurována interfejsu díky tomu že
vše state můžou být libovolné množství tak na všech nemůžu používá
další router advertisement
ve výsledku to je ten způsobech odvrhnul tady tyhle informace s tím že mu nastaví
menu školek
tím ve výsledku říkám desíti je ty citlivé server a použijí ho pro nějaké další
nastavení
a
tady potom
jestli k a teďka přeskočíme
že je to samozřejmě trvá nejsi to zařízení líné adresu znovu
nicméně a se tak stane tak vidím že
do té neserou se vložili všechny ty informace které já se mu tam prvotně potvora
to znamená veškeré dotazy teďka budou rán robin
způsobem
kolovat skrz tady tyhle dotazy na všech odpovídám já všechny mu bodu od vrhal
díky tomu že
použil tenhle server tak dotaz na googlu komu už není ten standardní jak ho znám
ale dostanu to adresu mojí na které běží ten útočník stejně jako tady zvuk stejně
jako
o cokoliv jiného co chci podvrhnout
tak
jak to potom funguje vráně
a
implicitně
ten provoz o třebas nechci nějakým způsobem
upravovat to znamená jenom
chci ho transparentně přenášet to znamená pro uživatele uživatel nepoznám vůbec nic nového
oni ho je to zcela transparentní
problém je pokuď chci vstoupit do SSL spojení protože samozřejmě tohle klient je schopen detekovat
díky tomu že mu to zahlásí
neplatný certifikát
tady vidím že sem normálně přihlášen skrz
nebo na disku
a tak dále
a
kdyby to za hlásilo ihned protože ten zvuk se implicitně přes přepona eště T P
S
před tím byla eště typ je s pouze při přihlášení
znamená teď se přihlásím samozřejmě nikdy tam že je to menu tak
je to zahlásí prohlížeč moc dobře linek se s tím zachází
jak se všem konci a je dál
to znamená že i přestože mám nastavený adres
certifikát jehož jméno neodpovídá
a názvu toho serveru ta tady je ten certifikát a ne akceptujte ho takle se
tahle informace vůbec není proto koncového uživatele viditelná to znamená musí se k tomu složitě
při klikat oženíš na to radši odkrývají na pokoj
jakmile to potvrdím tak samozřejmě jedu a já sem uvidíš ta komunikace může se s
tím dělat co
a
tak že jsme si přesměrovali ve výsledku jakýkoliv provoz ní který chceme
poďme na
jaká je může domobrana
jsou ve výsledku dnešní době dva až tři způsoby které se dají použít jako
obrana vůli dalším útokům jeden z nich S N
co šije
dalo by se říct
nevím jak to popravdě nazvat bez nějakých i nehty full
protože vymysleli se to fini
bloky a společně stiskem vjedete tam K potom kladné
nicméně celá ta princip toho sem do je že podepisuje
neighbor solicitation neighbor advertisments právě to znamená ty co slouží se pro a stejně jako
routrem ptá změn a tak dál
proto abych byl schopen validovat odpověď tak potřebuju P K Í to znamená vnutit s
klientovi certifikát znamená tady většinou můžu skončit protože toho nejsem schopen zajistit
nebo ta složitost administrační vůči si to tomu síťovému administrátory je taková že o
je to nereálné na druhou stranu na další věc která proč je to nereálné že
to někdo nepodporuje
to znamená tahla implementace celku neexistuje sou nějaké
částečné implementace pro linux
pokud si je zkusit rozchodit tak myslím že půjdete radši na pivo budete ten čas
investovat něčemu
navíc tady tenhle způsob není kompatibilní se manuálně nastavilo bitové šestkou adresou zprávy sex ten
že se vy šedesát čtyři adresami díky tomu že potřebuje mít
vlastně vygenerované adresy
kryptografické helejte které jsou další typem tyhle zprava
další způsobem je router advertisment K ve výsledku je to něco podobného jako kdy cyklistů
by případně nastavení nějaký space fialek na daném zařízení
tady tyhle
věci by ve výsledku zahazuju zprávy které nechci nebo ten cítili administrátorech
další sou
grafy nenese to source address validation
je to takové komplexní řešení nezáleží na použitém protokolu ani na použité
technologie platí to je pro štyřku tak pro šestku nicméně implementaci byste tak jak je
to popsáno v těch datech hledali těžko částečná i ty implementace je pomocí neighbor discovery
zkažená podobně to sou takové detaily do kterých se teď nemusíme
nicméně když už existuje obrana poďme si ukázat jak to buben obejít
jedním ze způsobů která se dá použít je pěkná vlastností P ve šestky a to
sou zřetězené hlavičky
klasicky všecko vy paket
ve kterém jde
ICMP vezeš nevypadá takže mám všecko hlavičku s tím že další hlavička je ICMP
já jsem řekněte hlaviček které mám
tak zvaných X ten že nemůžu použít vícero
znamená já
za tu šestkou hlavičku vložil nějakou vlastní nebo jinou a za tu až na ten
proud a tadleta N
sice je v céčku doporučované nějaké pořadí hlaviček případně množství které se dá použít nicméně
nic tomu nebrání abych
při těch hlaviček
pole úkoly chci
díky tady tomu jsem schopen prorazit všechny ochrany které jsou v dnešní době dostupné to
znamená ten router advertisement útoku které jsme se dívali na zamrzne počítač je přestože vám
nasazeno ochranu tak tím prostě projde a je to vcelku
o úplně jedno jestli to ochranu má nebo nemá
další zajímavá věc na kterou jsme zvyklí třebas ze štyřky a která
určitě
a je to tak jo
dotaz zní jestli se ráda dívá na pouze první hlavičku
a
ano i ne
třeba s pokud bezmoci skla tak
sysco je schopno pásová přibližně sedum tady téhleté hlaviček zřetězených
potom je začne propouštět a po šestnácti a víc hlavička zřetězenými zase začne filtrovat
a péčko třeba s
stačí tři hlavičky proto aby semi ho prošel tady toho politikou ve výsledku všechny ty
vole protože tahle implementace je na koncových si čích
kde potřebuju mít nějakou rychlost
to znamená tyhle filtry které se používají se většinou vkládají do
víceméně hardwerové týden tabulky a tam je problém vždycky ze zdroji to znamená tam nejsem
schopen parsovat
cokoliv a tudíž tam dochází tady chtělo způsobu takže ano
eliminuje se tou pod většinou počet skoků které je schopno to zařízení zpracovat až ho
není schopen zpracovat tak by ho mělo přeposlal do
softwarového
softwarové cesty kdyby ho měl zahodit nicméně neděje se to tak protože to dejme tomu
chyba k implementaci
já si vytvořím tady tenhle paket
tím že mám českou hlavičku nějaké zřetězené hlavičky a zatím mám ten a packet ICMP
S větší se podívá šestkou hlavičku oukej další hlavička není ICMP to znamená se podívám
dál na se podívám dal tady užší díky tomu že
nemám ty zdroje tak u se nepodívala tu hlavičku dala propustím
jo klidně
ano a to je tady díky tomu že ty zní
víceméně zdrojů má víc tak je schopen zparsovat cokoliv jo to znamená skrz ten svět
to projde tyto se zbaštil nic a na podle toho se nakonfigurovat
u toho ACL K je nebo obecně
je vždycky jednoduché pomocí nějakých paket craft generátoru jako je s kapiček příč či něco
jiného vytvořit jednoduchou zprávu ani že to ICMP ve šest ping nebo ten R a
nebo něco podobného ve výsledku na jednom řádku si vytvoříte libovolný pak
trošku problematičtější je když si chci vytvořit celé TCP session které by využívalo nějaké tady
téhle vlastnosti
a tohle chci ve většinou ve většině případů udělat když chci projít průsek si přát
přihlásit skrz S áčko a projít nějakým ACL ten protože to co sme si ukázali
na tom předchozím slajdu by ten switche schopen parsovat pouze limitované množství hlaviček
platí i pro A sirotka
to znamená
a o
pro demonstraci tady toho útoku jsem si naprogramoval vlastní terno modu který vkládá pro odchozí
spojení destination hlavičky
cože nástroj který není vcelku asi dostupným D to znamená u si to můžete za
na naprogramovat sami nebo je pěkně poprosit
a
abysme zase si ukázali nějaké zabavme by byl
podívá
na
a
situace
je následující
systémy dost
nám
a
server
na šestková adrese nastavené a jestli jako které mi zahazuje traffic
na S háčko jdoucí na to hosta a nějakého útočníka
jak to potom vypadá praxi
zkusím za přihlásit na
danou adresu
a to normálně pojem protože ještě žádné politiky nemám nastavené to znamená přihlásil jsem se
skrz S háčkem na adresu hosta
podívám se
na
switch který je nebo ten routek který je mezi tím že si vypíšu
A si jako které tam nastavené
vidíme že mám tady nastavené pravidla deny T C P
or dvacetdva destination a nejprve šestková adresa taková znamená klasicky tím zaříznu provoz jdoucí na
S se zápor daného zařízení
pokud do to a dané nejsi jako aplikuju a pokusím se přihlásit
a je to samozřejmě tady máte protože je ten traffic je blokován daným filtr
odkud se podívám jak to vypadá v rámci
aby tak tady vidím že vlastně se
díky tomu že sem nedostal odpověď jak se to snaží přeposlat dál a dál
znamená abych
se pokusil tady toto obejít
tak
si
do kernelu vložím modul ve kterému
teďka pro ukázku
řeknou že má použít dvě zřetězené hlavičky
vidím že pořád se nejsem schopen přihlásit to znamená ten filtr to pořád blokuje pokud
se podívám jak to vypadá na tom daném paketu tak
vidím že sem poslal si a mám tady vloženého hlavičku X takže další zatím je
to T C P
nicméně sme si řekli ty zdroje na daném zařízení jsou limitované to znamená jakým hlaviček
vložit více
a normálně se přihlásí
pokud se podíváte jak to vypadá potom tak si tak vidím že
a
vložil sem
při hlavičky
kterémuž jsou ten limit třebas pro H P a zařízení jenž projde daným vysílat a
normálně sem si přestože mám blokující ACL k o sem byl schopen tady toho rysy
jako prorazit vcelku bezproblémů
teda bezproblémů znal mně to tři
druhá věc
pokud by sme si řekli
tak jo tak H péčko to sou číňani to budou určitě nějací šmejdi
ne těles používáme tisklo tak tam ta situace naprosto stejné
je pravda že tiskově trošku lepší vtom že ty klasické destination ovšem cože ve výsledku
jenom osum bajtů je schopno zparsovat vcelku v libovolné množství
to znamená když si tam dáte sto padesát kdo to tam tento ACL kost parsuje
a nicméně
lze to obejít zase pomocí fragmentace
kdy já vlastně si vytvořím fragment s tím že ten záznam často TCP paket jean
další fragmentu
to znamená že to zařízení má dvě možnosti ono nevidí jaké další hlavička to znamená
v tom prvním paketu se nemůže rozhodnout jestli ho propustit nebo ne propustit
muselo by dělat
assemblery to znamená hašovací ty záznamy skládat je a potom víceméně steaku firewall což samozřejmě
má nároky narychlo
a to znamená většinou je politika propouštět
dá se tady tím a obejít
a vcelku
vývěska ji teska parabole switche ACL kovové ve výsledku cokoliv co chci
a
jenom pro srovnání vezme na tom ve čtyřce a šestce
ne štyřce
pokuď na sloupy
a protekčně masa rizika tak jsem ve výsledku schopen všem těmto útokům zabránit
šestce
je ta situace trošku složitější
pokud máte ráda tak když mi to tam jednu pošle omylem tak tomu zabrání O
K pochutnáme jsi jako to samé
nicméně pokud nám sem tak teoreticky taky ten sme si řekli že příliš složitý takže
horno škrtne
pokuď chci
tak projdou čímkoliv to znamená proti cílem útoku není dnešní době obrana
pokud
si ten šestko V provoz nezakáže
tím vyřešim všechny zvýšené problémy a vlastně sem O K
tak
jenom eště pro srovnání
ta cena za bezpečnost
dycky se říká že
a vlastně ta přirozená odměna hardvéru nám vyřeší všechny problémy s implementací ji pravé šestky
protože když si koupí nové zařízení tak vlastně ty podporu má
udělal jsem si jenom jednoduchá srovnání funny pro
sto padesát uživatelů když chci mít sto padesát uživatelů kterém pro které chceme gigabitový port
B S pole
se všema tyčové dáma pro štyřku které fungujou se dostanu přibližně na devadesát šest dolarů
za port
co to ceny za N z N nejsmu to znamená zkres
transparentní výběrové řízení se realitě dostaneme na trošku nižší hladiny
u šestky
je ta cena
ní trošku vyšší
a nicméně i přestože zaplatím víc nedostanu to ochranu protože jsem stejně schopen pro ní
že teda se rovná tak
pokuď by chtěl veškerou ochranu tak mám přibližně o sto padesát procent vyšší náklady na
to abych zavolat
vytvořil ve výsledku stejně bezpečnou síť
a je taky nevytvořím protože když ten útočník bude chtít tak mi projde tady to
bezpečnostních politik
další věc která je důležitá si uvědomit že všechny tyhle vlastnosti třeba
ty podakce z listy případně rád rádio podobně jsou implementované na zařízeních
třeba
že za půl tisíc ovce čtyři a půl pokuď se z vyznáte trošku scissor boxech
nebo jinde jsou to ty boxy které nám dělají páteřní směrování páteřní přepínání protože já
tyhle fi čili potřebuju co nejblíž uživateli to znamená na té přístupové vrstvě kde ty
zařízení mám nejvíc
znamená já si sice můžu koupit vše za půl tisícovku za
ještě padesát tisíc mesa portu ten M že u šasi si nemůžu dovolit tadytěhle zařízení
si koupit deset aby zapluj abych propoje všechny uživatele které desíti má
díky tomu že
S T přístup a ve světě zařízení potřebu nejvíc to znamená je tam nějaký tlak
na ten
a
abychom to nějakým způsobem shrnuli
pokuď si to šestku
nasadíme
tak
může nám to přinese určité bezpečnostní problémy jedna
jsou to ty o který jsme se zmínili jednak jsou to takové klasické chyby pře
konfiguraci kdy
já si třeba z nastavit firewall pro i P V štyřku ale zapomenu si to
nastavit pro B a šestku
implicitně se totiž ty pravidla nastavená pro jeden protokol na aplikují na druhý protokol to
znamená musím všechno konfigurovat dvakrát
cože takové
zábavné proto administrátora jak jinak to říct
jedná se to
firewall i jiné eska cokoli
obecně nebo to doporučení bylo že když už mám jakou bezpečnostní politiku pro štyřku tak
by ta šestková politika to měla kopírovat znamená měl jsem tam víceméně stejně číst
vůbec sme se při téhle přednášce nedotkli
třeba studovaného provoz
díky tomu že šestka jako taková a sem nasazuje trošku s obtížemi tak tam vzniklo
určité nebo vznikly určité přechodové mechanismy kdy ze čtyřkou jsem schopen komunikovat s nějakým švestkový
mostem a naopak a využívat ve výsledku techniky tunelování to znamená šestku zabalim to štyřky
případně štyřku zabalím do šestky a tak podobně díky tomu je schopen T P ve
čtyři moje host komunikovat českou korunu konektivitu díky tomu že to dávají do štyřky pošle
to na nějakou
na nějakého zařízení které má konektivitu do obou světů toto rozbalí a pošle to jedna
nicméně
většina
a to řeknu s diplomaticky
a
firewallů případně ejsi let není schopna se dívat dovnitř
protokolu to znamená ono vidí ji P V štyřky type ve čtyři provoz jdoucí na
judity portu padesát pět tisíc
a povětšinou tady ten na provozem blokuju protože nejsem schopen tom nějakém uživateli to zakázat
tudíž
přepošlu nadnormální dal do světa
u mě stavy toho pro
paketu je jdeme švestkový pakety jdoucí třebas na S N T P
port to znamená který se normálně blokuje
znamená jsem schopen vcelku efektivně spamu what třeba ze čtyřky i když se ten administrátor
to stačí a zabrání
ta problematika těhle
ní tunelovací mechanismu je mi vcelku mimo rámec tady té hodiny kterou na to máme
jsme je dá se to vcelku efektivně použít takže sme si ukázali obejití ACL X
jak a pomocí těch zřetězených hlaviček dá se to použity pomoc tihle tunelovací protokol
důležité je si uvědomit že propagátor ředitele šestky nejsou zodpovědní za vaší síť kterou provozujete
vy
znamená oni vám sice na slibujou jo bude to super když to nasadíš musíš to
udělat protože jinak si nebudeš moc
za pět let vůbec škrtnout nicméně když bude nějaký
bezpečnostní problém tak
on už bude na kafíčko někde bokem a vyřešit to budete vy to znamená je
třeba si uvědomit tady tohle kdo je zodpovědný za tu C do kterého té kde
ten protokol chci nasadit a domech cenu tak rádi
dost často tyhle lidé jsou lidé kteří si to načetli z R F téček bez
nějakých praktických zkušeností té třeba poznat
důležitá věc na poznámku je taky rozdílnost prostředí
my máme šestkou šestku nasazenou v rámci ve u té ve výsledku všude takové pěkná
ní pískoviště nahrání sou studenti na kolejích nežije asi šest tisíc za dá se tam
s nima
kouzly divadla místo nepoznají a je metodě na stejné
to znamená a já sem na té univerzitě jsem schopen tady tohle dovolit plus mínus
nasadit beztoho i přestože ví že jsou tam byla bezpečnostní problémy protože
když tam někdo bude skladovat pomocí nějakých tihle příkazu tak O K já jsem schopen
z nějakým časovým
zdržením eliminovat mezitím samozřejmě to někomu nepojede L
já se vy může nám peníze a tudíž mám staré zařízení nebo něco podobného
protože je tam taková i ta benevolence ste strany podle mě těch studentů není to
ten člověk který že má pětiminutových výpadek tak volána lelkování co se děje protože platí
nemohla části toho si firma nemůže dovolit protože ta by samozřejmě ihned přišlo o zákazníka
aby pryč
samozřejmě ty
problém že když nějakých problém je tak studénce
o ze možná ještě rychlej z těch pěti minut protože mu nejde ucho nebo něco
takového ale tak to jsou zase další věci
to znamená je třeba si uvědomit kde se autě firmy je opravdu dnešní době vcelku
dalo by se říct bezpečnostní riziko to tam zavést protože
nemám to port kontrolou nebo respektive nám to obtížně pod kontrolou
takže jaký je závěr
jestli všude zakázat ve výsledku to taky není správné řešení protože
když už tam něco mám
a monitoruj to tak má vždycky o tom lepší přehled naší když to vůbec na
monitoru na sem a ne na to tam nasazené to znamená
ideálně se s tím nějak seznámit nasadit a potom se nějak snažit zlepšit tu danou
situaci
dotazy
jo
takže
úsek řeky ta
otázka zněla jestli jsou na tom systémy by jedničkové nebo linuxové které o slouží tady
pro tu komunikaci na tom lépe nebo může
řekl bych že
asi lépe díky tomu že třeba se veškeré ty filtrace
a
řeší ten operační systém to znamená on je schopen to parsovat až ke konci znamená
samozřejmě za podstatně vyšší daň procesoru a podobných věcí nicméně schopno toho
tak nějak pro parsovat znamená ze pokud by vám
pokud byste měl linuxový server který vám slouží jako směrovač a přes ty lidé veškerý
trefit
tak ste tu na ten schulen schopen filtrovat tady tyhle útoky
nicméně
nejste s tím schopen třeba zabránit to že se ten klient pošle
nebo ten menenžment mi to útok výsadku protože ten ho se používá
přímo klient komunikaci to znamená tam to mozek com ale třeba sto ACL k ověřím
že na tom linuxu nepluje díky tomu že za spásu je náš const
zkušenosti s firewall i palo auto
o to sou L sedmičkové firewall i pokud se nepletu nemám
jo tam to
je nemyslelo snažil
protlačit
na jedné konferenciér empatii říká že to je úžasné
praktické zkušenosti s tím jestli tím projdu nebo neprojdu nemám
věřil bych že možná ta situace bude lepší protože ten firewall jako takových C
nebo stav
politika která se nastavuje se řez nastavuje a šperk protokol to znamená eště T P
povolit zakázat nebo něco podobného to znamená jak by to být schopen pro parsovat jaká
je realita si netroufám tvrdit
zatím zkušenost
co má vždycky ukazuje že jsem schopen projít cokoliv
se mi dostane pod takže
možná o to bude světla vím
další
jestli se teda jestli existuje výrobce který
zakazuje Í ta šest
a
tohle jsem schopen vcelku jednoduše udělat už na současném zařízení díky tomu že
dnešní době mi spousta výrobců umožňuje
filtrovat na základě petr tak u
ethernetového rámce ve se podívám že etap tak věřitele šest a ten paket zahodí znamená
ta situace je to chci filtrovat na portu
existuje i dnes a dá se ve výsledku použít není to samozřejmě na všech zařízení
na všech výrobcích
a ale to je takový ten
takže pokud chcete zakázat máte možnost
jako že to zas celé
to nevím
což nějaké další dotazy
jo
než abych
obě zopakoval dotaz takže jestli by
nasazení pouze derivace pravé šest to znamená weste stavové bezstavová konfigurace něčemu poho jestli sem
to pochopil správně
jo
a
z mého pohledu by to bylo super protože bychom měli jeden směrovací protokol nebo jeden
protokolu určený pro autokonfiguraci to znamená nemusel by všechno nemusel vyřešit bezpečnostní politikou bezstavová konfigurace
DHCP ve šest já bych jedem protokol pro všechny by to bylo jednodušší pro administrátory
rozhodně klient klientovi to teďka užší jedna takže mu je to unk
nicméně pokud se podíváme na nějaké politické tlaky v rámci a je T je tak
tam to není vůbec jednoduché protože
tam je velký odpor vůči tady tomu
aby se protože
aby se chytli i ostatní současné době já musím použít jak bezstavovou konfiguraci tak stavovou
protože v rámci té hádce P V šest nemůžu klientovi sdělit adresu implicitní brány
znamená pokud bych chtěl mít pouze relace P V šest tak jak sem zvyklí je
že ho máme štyřce tak to nelze protože klientovi nesdělim adresu implicitní brány to je
ta kombinace že musím použít oba dva mechanismy
dyby se tam tahle myšlenka celé to stojí na tom jestli dráze prvé šest bude
podporovat tu informaci a zatím
to sou
sou vůči tomu tak silné námitky že to podporuje veškeré mechanismy že si nemyslím že
se to někdy přes tenhle dalo by se říct fanatizmus přelije k tomu že se
k toho dočkáme nicméně s pohledu operátora teda nesytil si myslím že by to určitě
byl krok správným směrem mít pouze jeden mechanismus který pak to můžu dotáhnout do detailů
správně jako klienta tak u serveru a stejně samo schopen lépe monitorovat
by to bylo správným směrem nicméně ne myslím si že se to stane nejbližších padesát
dva
jestli je to nebo není cestami zodpovědnosti podle mě
každý se s tím dokáže na to odpovědět sám tam je problém celere šestky je
že vznikala v době kdy se ty sítě provozovaly naprosto jiným způsobem i se provozují
dnes
poláky nebo ty
věci které my potřebujeme dnes
třetímu bez nebyly známé jsou tam určité dalo by se říct fanatická rozhodnutí přes které
je přestože se ukazuje jsou špatné tak se nechcou změnit díky tomu že ten člověk
si to nevymyslel de prostě přesune devat
a jestli se tohle je z někde změní
jo a to si nemyslím že se budem bude se to měnit velice pomalu jestli
vůbec
ve výsledku
o
podle mě se dá se s tím tak jako že pohrát nějak se s tím
naučit dál nechat ten
svědek rozhodne dost často se možná půjde úplně jiným směrem naše
je toho a samozřejmě ten tlak v rámci té standartizační komisi je tlačit u šestku
co to D nicméně praxe možná ukážeme se ta výhybka přehodí na jinou stranu a
tady tyhle páry se necháme modrou a jak se bude chtít
a jedna jakou stranu se překlopit
vy to vyřešíme nebojte se tady v rámci byl teďka
tam je tedy asi vše děkuju za to