¿Es posible detectar el tráfico de una red remota? (Con acceso de administrador al enrutador)

7

Un amigo mío y yo estamos simulando un escenario generalizado donde las configuraciones del enrutador están intactas (contraseñas predeterminadas) y son visibles desde Internet. Él, actuando como la víctima, constantemente emitirá un paquete con un contenido específico (solo una cadena) a un sitio web, y se supone que yo, como el malo, debe oler esos paquetes y decirle la cadena la próxima vez que reunirse. Habiendo dicho mis propósitos, aquí están mis preguntas:

  1. ¿Es posible detectar el tráfico de una red remota, siempre que tenga acceso de administrador a través del enrutador / módem? (Pensamos en explotar el enrutamiento estático y reenviar todo el tráfico a un servidor remoto, luego dicho servidor reenviará su tráfico a su ISP. También pensamos en lo mismo, pero en lugar de reenviar directamente al ISP, de alguna manera devolvemos el tráfico al enrutador y deje que se encargue del negocio del ISP)

  2. ¿Qué tan factible es el vector de ataque que pensamos? (Consideramos el impacto en el ancho de banda de la red, pero ignoraremos este hecho por ahora). ---- ¿Hay servicios existentes que hacen exactamente esto? (Actúa como una especie de servidor de intermediario)

  3. Si es posible, ¿qué otros métodos de ataque están disponibles por ahí? ¿Qué tan difícil sería implementar esto? (considere el Joe lógico por encima del promedio, con conocimientos de computación)

  4. ¿Qué tan detectables serían esos ataques? (Los que pensamos son claros como la luz del día; la conexión casi se detendría en el tráfico pesado)

Ya leí esto , pero no creo que el usuario tenga acceso de administrador a través de la red. La duplicación no está permitida, ya que no todos los enrutadores tienen esta función (pero la nuestra la tiene).

Actualización: Unos años más tarde, me di cuenta de que todo es posible. Pude rootear mi propio enrutador, obtener acceso a telnet, luego obtener acceso a ssh y finalmente ejecutar un programa como root, usando un campo de entrada no autorizado (diagnóstico - > ping) mientras uso una cuenta sin privilegios.

El enrutador involucrado era un TP-Link Archer C2. Se estaba ejecutando una especie de Unix en MIPS. El programa utilizado fue udp2raw compilado específicamente para MIPS .

    
pregunta pandalion98 13.05.2015 - 15:35
fuente

4 respuestas

1

La pregunta # 3 es demasiado abierta para responder. Para los demás, la respuesta depende del modelo de enrutador en cuestión y, en función de eso, el significado exacto de "acceso de administrador".

Si el enrutador es un dispositivo basado en Cisco IOS y usted tiene acceso privilegiado de nivel 15, puede usar los comandos regulares de detección de paquetes de IOS que le permitirán alcanzar su tarea de detección. Sin embargo, ningún administrador de Cisco en su sano juicio haría que la interfaz de administrador fuera accesible desde Internet, y mucho menos con una contraseña predeterminada, por lo que el ataque no es muy factible en la vida real. Además, todos los administradores de Cisco que valgan la pena deberían haber configurado el registro en un servidor central de syslog para que su inicio de sesión y todos los comandos que use estén visibles en el registro.

Si se trata de un enrutador de consumo barato y normal y tiene acceso a la interfaz gráfica de usuario web, la mayoría de los modelos no ofrecen una función de detección de paquetes allí. Sin embargo, unos pocos lo hacen. (A menudo, en una URL "oculta", pero eso no es un obstáculo, por supuesto). La mayoría de los modelos no son accesibles desde Internet por defecto, pero algunos sí lo son. Entonces, si el enrutador en cuestión es uno de los modelos con un rastreador incorporado y accesibles desde Internet, entonces sí, el ataque sería factible y podría pasar desapercibido ya que la mayoría de estos dispositivos ni siquiera admiten el registro en un servidor de registro, e incluso si lo hacen, un propietario que no cambia la contraseña predeterminada tampoco configurará el registro. Por lo tanto, en este caso, el ataque depende completamente del modelo de enrutador específico y que usted conozca al respecto.

Si se trata de un enrutador basado en Linux (ya sea uno de los muchos modelos comerciales que utilizan un kernel de Linux o un dispositivo de fabricación casera) y usted tiene acceso de root al kernel de Linux, entonces, por supuesto, puede hacer lo que desee. Sin embargo, el acceso a la raíz con la autenticación de contraseña desde Internet es definitivamente imprudente, y no es la configuración predeterminada para ningún dispositivo que haya visto.

    
respondido por el Tilman Schmidt 11.08.2015 - 18:37
fuente
2

Si puede iniciar sesión de forma remota, habrá muy poco que no pueda hacer. Una vez que tenga un shell raíz, puede ejecutar fácilmente tcpdump. Puede leer las bases de datos locales que proporcionan claves de cifrado en otro lugar. Si dentro de ese shell, faltan comandos; Puedes escribir, o simplemente ir a buscar los comandos que quieras. Si logras entrar, probablemente haya mucho ancho de banda; y puede pasar desapercibido por un tiempo mientras las cosas sigan funcionando.

enlace

Sin embargo, la mayoría de la gente permitirá que el ISP configure el enrutador que se conecta al ISP; y eso no va a tener la contraseña predeterminada y dejará entrar al mundo. Verizon usa un UUID enorme para la clave de cifrado (escrita en una etiqueta en el módem), etc. Habrá cosas mal configuradas por ahí, pero no es como se usa para ser (con los usuarios finales que van a Best Buy y (mal) configurarlo él mismo).

    
respondido por el Rob 13.05.2015 - 16:09
fuente
1

Dado que estamos hablando de tráfico http no cifrado (si está cifrado, simplemente déjelo), suba el servidor al puerto deseado, incremente el servicio dns falso, que devolverá la IP de su servidor en cada solicitud de dns y cambie parámetro DHCP del enrutador "Servidor (es) DNS" en la IP de su servidor.

    
respondido por el Максим Романюк 16.05.2018 - 23:08
fuente
0

Además de intentar rastrear paquetes en el enrutador, hay, por supuesto, métodos que le permiten aprovechar el hecho de que tiene cierto control sobre el enrutador para habilitar ataques en otros lugares donde tiene mayor flexibilidad y amplitud. ; Facilidad de olfatear su tráfico. Dos ejemplos:

  1. Si el enrutador tiene la capacidad y usted tiene acceso, configúrelo para que reenvíe el tráfico http saliente a un servidor proxy transparente que haya configurado, con cualquier rastreador de paquetes que le guste ejecutar en la caja o VM a su lado. La parte "transparente" significa que el usuario en el cliente final (es decir, él, usando su computadora) no podrá detectar ningún cambio en la configuración de red de su dispositivo, ya que no se necesitarán ni ocurrirán tales cambios; Todo será hecho por su enrutador y su proxy. En cuanto a si esto generaría sospechas con un usuario final al afectar significativamente la velocidad de la conexión, supongo que eso depende del rendimiento del servidor proxy seleccionado y la latencia agregada por la longitud del segmento entre su enrutador y su servidor. entre otros factores. Apache configurado como un proxy transparente, que se ejecuta en una instancia de AWS con especificaciones adecuadas, podría ser una forma bastante sencilla de configurar algo como esto y obtener un rendimiento de proxy no pésimo. Contra un usuario común, la táctica probablemente no se detecte durante bastante tiempo en la mayoría de los casos. Contra una persona experta en tecnología que observa específicamente las anomalías de latencia de conexión ... no hay garantías.

  2. Cambie la configuración de su servidor DNS para que apunte a un servidor DNS malicioso que haya configurado, señalándolo cuando solicite un sitio http sin cifrar / sin formato a una página de error de aspecto legítimo que contenga un elemento malicioso que haya adjuntado con Metasploit. Si no está ejecutando de forma no diligente un cliente Java o una versión de Flash no parcheados, puede soltar una carga útil de https inversa en su caja, luego entrar y correr un sniffer o compartir su pantalla y verlo mientras dispara su ping a donde sea. :-)

(Nota: la segunda cosa fue una broma. Ir más allá de cambiar la configuración del enrutador del otro tipo para piratear su PC sin su mayor consentimiento sería exceder el alcance de lo que tiene permiso para hacer. Lo que podría / afectaría La legalidad de tus acciones. No vayas allí.)

    
respondido por el mostlyinformed 03.12.2015 - 01:38
fuente

Lea otras preguntas en las etiquetas