Поговорим об эмулируемой виртуальной среде EVE-NG, которая используется специалистами по всему миру. Она позволяет предприятиям, поставщикам электронного обучения, частным лицам и группам создавать виртуальные прототипы концепций, решений и учебных сред.
Emulated Virtual Environment – Next Generation (EVE-NG) – это набор инструментов для работы с виртуальными устройствами, построением сетей, коммутацией с реальным оборудованием. Возможности данного продукта позволяют легко использовать, управлять, коммутировать моделируемое сетевое оборудование.
Настройка и проектирование сети
Для установки данной среды моделирования необходимо скачать ее образ с официального
После успешной установки данного стенда необходимо его запустить, ввести логин и пароль, используя учетку root/eve. Далее отвечаем на стандартные вопросы по настройке ОС и ждем пока система перезагрузиться. Затем переходим по представленному в VM ip адресу в браузере и логинимся, используя учетку admin/eve.
Нас встречает следующее окно, через которое и будет осуществляться работа и настройка всего оборудования.
Создадим простую инфраструктуру для моделирования сетевых атак.
Начнем создание корпоративной сети с трех коммутаторов с представленными ниже значениями.
Далее добавим файрволл, который впоследствии сделаем шлюзом по умолчанию и настроим выход в интернет
Перейдем к созданию тестовых машин и развернем машину, на которой будет установлен kali linux. Добавим windows server и пользовательскую машину с windows 7.
Свяжем все устройства в единую сеть, интерфейсы выставим по умолчанию.
Запустим все устройства и разделим на две сети (внешнюю WAN и LAN внутреннюю)
Перейдем в настройки файрволла: выберем локальную сеть, зададим ipv4 адрес (10.15.15.254/24) непосредственно файрволлу. Включим DHCP сервер, для того чтобы он задал автоматический ip адрес всем машинам внутри локальной сети.
Далее зайдем с машины windows7 на веб-интерфейс файрволла введя в строку его ip адрес.
После успешного ввода логина и пароля нас встречает интерфейс, в котором можно произвести дальнейшую настройку файрволла.
В правилах отключим IPv6 конфигурацию, чтобы не возникло конфликта, так как мы используем IPv4. Перезапустим файрволл для применения настроек.
После проверки соединения с используемой машины видим, что интернет появился. Интернет был проверен с помощью пересылки ICMP пакетов на адрес ya.ru.
С машины, на которой установлен kali linux также есть доступ к интернету.
Моделирование атаки
Настроив собственный стенд, попробуем смоделировать атаку ARP Spoofing.
ARP Spoofing (Address Resolution Protocol Spoofing) – это тип атаки, при котором злоумышленник отправляет ложные ARP-запросы в локальную сеть, чтобы связать свой собственный MAC-адрес с IP-адресом жертвы. Это может привести к перенаправлению трафика на компьютер злоумышленника или созданию MITM (Man-in-the-Middle) атаки. Данная атака будет работать только в том случае, если машины находятся в одной подсети, так как она направлена на уровень L2, следовательно не имеет доступ к IP пакетам.
Просканируем нашу подсеть с kali linux. Видим, что результаты сканирования показывают о наличии нескольких машин внутри данной подсети.
Запустим программу-анализатор трафика для компьютерных сетей Ethernet Wireshark на kali linux и посмотрим будем ли видеть пакеты, которые уходят от Windows7. Как видно из рисунка ниже, пакеты с хоста windows7 не доходят до нас.
Для успешного перехвата трафика необходимо разрешить forwarding пакетов в файле /etc/sysctl.conf. Это позволит получить пакеты, не предназначенные для данного устройства.
Далее с помощью встроенной утилиты в kali arpspoof перенаправим трафик на компьютер злоумышленника. Для этого в утилите укажем номер интерфейса, на котором будет показываться трафик, ip шлюза и ip жертвы, между которыми будут происходить соединения.
Теперь, если мы попытаемся использовать команду ping на компьютере с Windows7, то злоумышленник увидит запросы, передаваемые жертвой
Если зайти на компьютере жертвы на незащищенный сайт по протоколу http, то злоумышленник сможет выгрузить с него все данные, сохранив http выгрузку из Wireshark.
Для того, чтобы детектировать данную атаку на switch необходимо использовать команду:
Она позволит нам увидеть перенаправления трафика.
В качестве защиты от данной атаки можно предложить следующие варианты:
Emulated Virtual Environment – Next Generation (EVE-NG) – это набор инструментов для работы с виртуальными устройствами, построением сетей, коммутацией с реальным оборудованием. Возможности данного продукта позволяют легко использовать, управлять, коммутировать моделируемое сетевое оборудование.
Настройка и проектирование сети
Для установки данной среды моделирования необходимо скачать ее образ с официального
Ссылка скрыта от гостей
и импортировать его на виртуальную машину VMware, так как поддерживается только она. После успешной установки данного стенда необходимо его запустить, ввести логин и пароль, используя учетку root/eve. Далее отвечаем на стандартные вопросы по настройке ОС и ждем пока система перезагрузиться. Затем переходим по представленному в VM ip адресу в браузере и логинимся, используя учетку admin/eve.
Нас встречает следующее окно, через которое и будет осуществляться работа и настройка всего оборудования.
Создадим простую инфраструктуру для моделирования сетевых атак.
Начнем создание корпоративной сети с трех коммутаторов с представленными ниже значениями.
Далее добавим файрволл, который впоследствии сделаем шлюзом по умолчанию и настроим выход в интернет
Перейдем к созданию тестовых машин и развернем машину, на которой будет установлен kali linux. Добавим windows server и пользовательскую машину с windows 7.
Свяжем все устройства в единую сеть, интерфейсы выставим по умолчанию.
Запустим все устройства и разделим на две сети (внешнюю WAN и LAN внутреннюю)
Перейдем в настройки файрволла: выберем локальную сеть, зададим ipv4 адрес (10.15.15.254/24) непосредственно файрволлу. Включим DHCP сервер, для того чтобы он задал автоматический ip адрес всем машинам внутри локальной сети.
Далее зайдем с машины windows7 на веб-интерфейс файрволла введя в строку его ip адрес.
После успешного ввода логина и пароля нас встречает интерфейс, в котором можно произвести дальнейшую настройку файрволла.
В правилах отключим IPv6 конфигурацию, чтобы не возникло конфликта, так как мы используем IPv4. Перезапустим файрволл для применения настроек.
После проверки соединения с используемой машины видим, что интернет появился. Интернет был проверен с помощью пересылки ICMP пакетов на адрес ya.ru.
С машины, на которой установлен kali linux также есть доступ к интернету.
Моделирование атаки
Настроив собственный стенд, попробуем смоделировать атаку ARP Spoofing.
ARP Spoofing (Address Resolution Protocol Spoofing) – это тип атаки, при котором злоумышленник отправляет ложные ARP-запросы в локальную сеть, чтобы связать свой собственный MAC-адрес с IP-адресом жертвы. Это может привести к перенаправлению трафика на компьютер злоумышленника или созданию MITM (Man-in-the-Middle) атаки. Данная атака будет работать только в том случае, если машины находятся в одной подсети, так как она направлена на уровень L2, следовательно не имеет доступ к IP пакетам.
Просканируем нашу подсеть с kali linux. Видим, что результаты сканирования показывают о наличии нескольких машин внутри данной подсети.
Запустим программу-анализатор трафика для компьютерных сетей Ethernet Wireshark на kali linux и посмотрим будем ли видеть пакеты, которые уходят от Windows7. Как видно из рисунка ниже, пакеты с хоста windows7 не доходят до нас.
Для успешного перехвата трафика необходимо разрешить forwarding пакетов в файле /etc/sysctl.conf. Это позволит получить пакеты, не предназначенные для данного устройства.
Далее с помощью встроенной утилиты в kali arpspoof перенаправим трафик на компьютер злоумышленника. Для этого в утилите укажем номер интерфейса, на котором будет показываться трафик, ip шлюза и ip жертвы, между которыми будут происходить соединения.
Теперь, если мы попытаемся использовать команду ping на компьютере с Windows7, то злоумышленник увидит запросы, передаваемые жертвой
Если зайти на компьютере жертвы на незащищенный сайт по протоколу http, то злоумышленник сможет выгрузить с него все данные, сохранив http выгрузку из Wireshark.
Для того, чтобы детектировать данную атаку на switch необходимо использовать команду:
Bash:
ip arp inspection vlan 1.В качестве защиты от данной атаки можно предложить следующие варианты:
- Статическое настройка ARP: настройка ARP-таблицы вручную на всех устройствах в сети, что позволит избежать многих атак ARP Spoofing. Однако, это может быть неудобно в крупных сетях.
- Использование ARP Spoofing Prevention Software: существуют специализированные программы и устройства, которые могут автоматически обнаруживать и предотвращать ARP-атаки. Некоторые современные межсетевые экраны (firewalls) и системы обнаружения вторжений (IDS/IPS) имеют такие функции.
- Внедрение Secure ARP Protocols: некоторые сетевые протоколы, такие как ARP Spoofing Prevention, позволяют защитить сеть от атак ARP Spoofing, предотвращая манипуляции с ARP-таблицами.
- Сетевая изоляция: хорошо сегментированная сеть будет менее восприимчива к ARP Spoofing, так как атака в одной подсети не влияет на другие подсети.
- Использование виртуальных частных сетей (VPN): подключение к сети через VPN может обеспечить дополнительный уровень безопасности, так как все данные будут шифроваться и передаваться через защищенный туннель.
