Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Pasywny odgałęźnik (tap) fast ethernet - czyli "podsłuch" IP

TechEkspert 13 Maj 2018 14:42 4368 15
  • Pasywny odgałęźnik (tap) fast ethernet - czyli "podsłuch" IP
    Czasami podczas wdrożenia, do rozwiązania problemu konieczne jest przechwycenie ruchu sieciowego między urządzeniami, aby usunąć występujące przeszkody. W przypadku, gdy jednym z urządzeń jest komputer z uruchomionym oprogramowaniem, często wystarczające jest zainstalowane oprogramowania typu Wireshark i sprawdzenie, gdzie występuje problem. W przypadku, gdy chcemy sprawdzić ruch między urządzeniami, konieczne jest przechwycenie transmisji z portu jednego z urządzeń.
    W profesjonalnych rozwiązaniach możemy wykorzystać funkcję "port mirroring" na przełączniku i możemy "skopiować" ruch z wybranego portu/portów/vlanu na inny wybrany port gdzie podłączymy komputer np. z oprogramowaniem Wireshark. Tym sposobem możemy przechwytywać ruch z prędkością interfejsu czyli np. 1Gb/s lub więcej (np. 10Gb/s), jednak przy większych prędkościach pojawiają się spore wymagania co do urządzeń przechwytujących i analizujących badany ruch sieciowy.

    Jak możemy poradzić sobie w "terenie", gdy pilnie musimy zbadać ruch między dwoma urządzeniami w LAN oraz nie posiadamy zarządzalnego przełącznika z funkcją "mirror port", oraz nie możemy na urządzeniach zainstalować oprogramowania do analizy ruchu (np. jest to para router/drukarka/macierz dyskowa/przełącznik itp).
    Kiedyś popularnym sposobem było wykorzystanie przestarzałego huba 10Mb/s, obecnie tego typu urządzenia są mniej dostępne, a ograniczona przepustowość może być problemem.

    Możemy wykorzystać sposób pasywnego odgałęźnika (tap) 100Mb/s (fast Ethernet), który pozwoli na przechwycenie ruchu sieciowego między urządzeniami. Jest to rozwiązanie poza wszelkimi normami, które może nawet doprowadzić (w skrajnych przypadkach) do uszkodzenia sprzętu. Można też dla zwiększenia bezpieczeństwa "odseparować" się od odgałęźnika np. przełącznikem fast Ethernet za ~40zł.
    Użycie rozwiązania jest na własne ryzyko, ale czasami taki prosty "tap" może przydać się przy rozwiązywaniu problemów z komunikacją sieciową.

    Do przygotowania "odgałęzinka" wykorzystałem dwa podwójne gniazda 8P8C (RJ45),
    na początek łączymy wyprowadzenia jednego gniazda z gniazdem w drugim module:
    1 - 1 (TX+)
    2 - 2 (TX-)
    3 - 3 (RX+)
    6 - 6 (RX-)
    Pasywny odgałęźnik (tap) fast ethernet - czyli "podsłuch" IP





    Uzyskujemy "przedłużkę", która może działać w standardzie FastEthernet.

    Następnie w obu modułach, na drugie gniazdo odgałęziamy linie transmisyjne. W jednym gnieździe parę nadawczą (1,2), w drugim gnieździe parę odbiorczą (3,6). Pary odgałęziamy na wyprowadzenia 3,6 (RX+, RX-).
    1(TX+) - 3 (RX+)
    2(TX-) - 6 (RX-)

    3(RX+) - 3 (RX+)
    6(RX-) - 6 (RX-)
    Pasywny odgałęźnik (tap) fast ethernet - czyli "podsłuch" IP

    Po zamknięciu gniazd warto oznaczyć je tak, aby wewnętrzny schemat połączeń był jasny dla każdego:
    Pasywny odgałęźnik (tap) fast ethernet - czyli "podsłuch" IP

    Do gniazda "Device" podłączamy przewodem prostym (patch) np. w standardzie EIA/TIA T586B urządzenie,
    do gniazda "Uplink" podłączamy dotychczasowy przewód podłączony do interfejsu urządzenia.

    Na gniazdach Tap możemy przechwycić jednokierunkowe transmisje "z urządzenia" lub "do urządzenia". Do gniazda "Tap" podłączamy kabel prosty i łączymy go z kartą sieciową w komputerze z zainstalowanym programem typu Wireshark. Jeżeli chcemy jednocześnie przechwytywać transmisję w obu kierunkach, potrzebujemy dwóch interfejsów sieciowych w komputerze analizującym ruch.

    Ze względu na powszechne AUTO MDI-MDIX (wykrywanie połączenia przewodem prostym/patch lub skrosowanym/crossover), kierunek transmisji dostępny na wyprowadzeniach Tap ustalamy eksperymentalnie.
    W moim przypadku na gnieździe "Tap" obok gniazda "Uplink" dostępny był ruch "z urządzenia do Uplink", natomiast na gnieździe "Tap" obok gniazda "Device" dostępny był ruch "z Uplnik do urządzenia".

    Pasywny Tap można wykorzystać wyłącznie na swoją odpowiedzialność (ryzyko uszkodzeń/zakłóceń), w warunkach domowych "odgałęźnik" może przydać się do sprawdzenia ruchu między naszym domowym routerem a urządzeniem operatora z interfejsem Ethernet. Można sprawdzić, jaką komunikację nawiązuje domowy router oraz jaki ruch przychodzi na interfejs WAN z internetu. Atakujący mogą próbować wykorzystują luki w oprogramowaniu tanich routerów, aby budować sieci botnet lub próbować np. przekierować nas na fałszywą stronę banku itp. Sprawdzenie komunikacji routera z internetem może pozwolić wykryć anomalie. Urządzenie może przydać się przy edukacji i eksperymentach z siecią LAN oraz wykrywaniu problemów z uruchamianymi urządzeniami (np. enc28j60).

    Co myślicie o takim prymitywnym sposobie na analizę ruchu sieciowego?


    Fajne!
  • #2 13 Maj 2018 15:40
    rb401
    Poziom 33  

    TechEkspert napisał:
    Co myślicie o takim prymitywnym sposobie na analizę ruchu sieciowego?


    To że wykazałeś że to działa i to głównie chodzi (bo sam hardware jest trywialny) o działanie całościowe takiego systemu tzn. też ze strony softu itd., ma dużą wartość i bardzo fajnie z Twojej strony że to tu wrzuciłeś, dzięki. I łatwą rzeczą do zrobienia w razie potrzeby.
    Nawet nasuwa mi się koncepcja bardziej "kompaktowa", tzn. wykorzystanie zwłok jakiegoś padniętego switcha czy czegoś podobnego (byle tylko by miał co na mniej 4 gniazdka), Ucięcie ścieżek np. dremelem i połączenie na pinach gniazdek drucikami prosto do nich lutowanymi. Wtedy by było poręczne jedno pudełko nie dwa. Ale to i tak drugorzędny szczegół zależny co komu pod ręką leży w danej chwili.

    Nurtuje mnie w tej chwili taka rzecz, czy taki np. Wireshark potrafi "powiązać" pakiety z dwóch sieciówek aby pokazać je jako pojedyncze transmisje w sensie np. TCP ?

  • #3 13 Maj 2018 18:47
    TechEkspert
    Redaktor

    Można dość mocno zminiaturyzować, np, tak jak piszesz wykorzystując gniazda z uszkodzonego sprzętu,
    można też użyć samych wtyczek RJ45. Gniazda natynkowe wykorzystałem ponieważ stało ich pełne pudło, a wciśnięcie przewodów nożem krosownczym zajęło chwilę.

    Co do kolejności pakietów w Wireshark, podejrzewam że w moim zastosowaniu wystarczająca była kolumna "czas",
    w innych przypadkach przy analizie konkretnego połączenia przydatny może być numer sekwencyjny pakietu?

  • #4 14 Maj 2018 00:12
    krru
    Poziom 32  

    rb401 napisał:

    Nurtuje mnie w tej chwili taka rzecz, czy taki np. Wireshark potrafi "powiązać" pakiety z dwóch sieciówek aby pokazać je jako pojedyncze transmisje w sensie np. TCP ?


    Skoro i tak potrzeba komputera z dwiema kartami sieciowymi, to wystarczy zainstalować na nim oprogramowanie typu "bridge" do połączenia logicznego kart sieciowych ze sobą i rejestrować transmisję przez jedną. Żadne dziwne przejściówki nie będą potrzebne.

  • #5 14 Maj 2018 03:10
    rb401
    Poziom 33  

    krru napisał:
    Skoro i tak potrzeba komputera z dwiema kartami sieciowymi, to wystarczy zainstalować na nim oprogramowanie typu "bridge" do połączenia logicznego kart sieciowych ze sobą i rejestrować transmisję przez jedną. Żadne dziwne przejściówki nie będą potrzebne.


    Też bardzo fajny pomysł na "podsłuch". Ale może w niektórych sytuacjach ten prosty sprzętowy tap, może mieć też pewne zalety. Np. że nie ma ryzyka żadnej ingerencji w pakiety (jakieś np. TTL czy adresy warstwy ethernetowej itp.), którą most i przejście przez kartę może (a możliwe że musi) zmieniać. Jak też przykładowo, przy tym sprzętowym rozwiązaniu, lekko go tylko modyfikując (dodając "rozdzielacz" po drugiej stronie), można tylko jednym kablem zrobić podwójne połączenie tap-komputer podsłuchujący.

    Ale Twoja propozycja nasunęła mi też pewną pośrednią koncepcję, czy w tym sprzętowym rozwiązaniu przedstawionym przez kolegę TechEkspert, nie udało by się też spiąć programowo tych kart sieciowych tym mostem. Wtedy można by śledząc ruch na jednej z kart, widzieć cały podsłuchiwany ruch i to już mając zsynchronizowane pakiety tak by prosto widzieć całościowo każde z połączeń np. TCP.
    Co prawda karty nadawały by "donikąd" ale to nieistotne. Tyle że nie wiem czy i jak takie coś by wyszło w praktyce.

  • #6 14 Maj 2018 07:38
    Gruby__
    Poziom 16  

    W sumie można to trochę zmniejszyć. Użyć trójnika LAN takiego jak ten:

    Pasywny odgałęźnik (tap) fast ethernet - czyli "podsłuch" IP

    I skonstruować kabelek

    Pasywny odgałęźnik (tap) fast ethernet - czyli "podsłuch" IP

  • #7 14 Maj 2018 13:25
    rb401
    Poziom 33  

    Gruby__ napisał:


    I skonstruować kabelek

    Pasywny odgałęźnik (tap) fast ethernet - czyli "podsłuch" IP


    Nie do końca o to chodzi. Bo tu nie chodzi o rozdzielenie a dołączenie się równoległe do linii. Ale Twoja sugestia użycia takiego trójnika nie jest zła.
    Bo odpowiednio preparując dwa takie trójniki, z jednego można zrobić tap z przejściem na dwie skrętki jednego kabla, a z drugiego rozdzielacz tych dwóch skrętek na dwa kabelki do dwóch kart sieciowych. I będzie bardzo elegancko. Co prawda nie od strony zgodności z normami itp. . Ale czego nie robi się dla nauki.
    No i ważne że działa, co wykazał autor tego wątku.

  • #8 14 Maj 2018 13:31
    Gruby__
    Poziom 16  

    Ale to właśnie robi trójnik. Rozdziela sygnał na dwa identyczne. Więc z jednej strony podłączyć można źródło, z drugiej odbiornik i trzecim gniazdem wyciągnąć tx i rx za pomocą kabla ze schematu (na dwa złącza kart sieciowych). I wcale nie są potrzebne wtedy dwa trójniki ;)

    Pasywny odgałęźnik (tap) fast ethernet - czyli "podsłuch" IP

    EDIT:Oczywiście chodzi mi o trójnik RJ45, nie splitter

    Pasywny odgałęźnik (tap) fast ethernet - czyli "podsłuch" IP

  • #9 14 Maj 2018 13:51
    rb401
    Poziom 33  

    Gruby__ napisał:
    Ale to właśnie robi trójnik.


    Twój schemat sugeruje coś innego. Ale masz tu rację że jako tap może być użyty taki trójnik bez żadnej modyfikacji i z niego w kierunku podsłuchującego komputera może iść zwykły kabel 1:1. Jednak od strony komputera jest konieczny drugi trójnik, by z jednego kabla wyjść na dwa i to koniecznie zmodyfikowany by odciąć kierunek nadawania z podsłuchujących kart sieciowych (bo się zrobi chaos) oraz by wejść na jedną z kart pinami odbiornika RX na drugą skrętkę niż druga karta ma podłączone RX.
    Czyli ten drugi "trójnik" powinien mieć schemat jak tu pierwotnie narysowałeś. A tap jest trójnikiem bez przeróbki.
    Czyli to co masz teraz na pierwszym rysunku jest ok. a schemat dotyczyłby tego drugiego "trójnika" (z wyglądu bo to już nie byłby trójnik).

  • #10 14 Maj 2018 18:35
    TechEkspert
    Redaktor

    Wspomnę jeszcze, że do usunięcia części problemów wystarczyła tylko analiza pakietów z jednego tapa wysyłanych przez urządzenie z wykorzystaniem laptopa z jednym interfejsem siecowym i Wireshark.
    Na komputerze z dwoma interfejsami sieciowymi w Wireshark wystarczyło zaznaczyć obie karty, uruchomić przechwytywanie i tyle,
    otrzymujemy pakiety z obu kart w jednym "oknie", pakiety sortowane są prawdopodobnie po czasie przybycia i to w tym przypadku było wystarczające.

    Oczywiście najwygodniej wykorzystać przełącznik, który można skonfigurować tak aby przekazywał pakiety z wybranych portów, lub całego vlan-u, jednym portem załatwiamy rejestrację całej komunikacji między urządzeniami. Ale trzeba go mieć na miejscu...

  • #11 14 Maj 2018 18:51
    rb401
    Poziom 33  

    TechEkspert napisał:
    Na komputerze z dwoma interfejsami sieciowymi w Wireshark wystarczyło zaznaczyć obie karty, uruchomić przechwytywanie i tyle,


    A jeszcze pytania. Jak skonfigurowałeś adres IP tych kart (bo z DHCP nie miały by jak się dowiedzieć)? Chodzi mi właściwie o to czy da się podsłuchać pakiety z całkiem innej sieci (różnej adresem) niż sieć tych kart.

    Jak długie miałeś kable od tapu do tych kart, bo wiadomo że w parametrach falowych linii, takie doczepienie mocno je popsuje?

  • #12 14 Maj 2018 18:58
    TechEkspert
    Redaktor

    Jeśli chodzi o IP to bez DHCP dostają APIPA ale jest ono przypadkowo wybrane, lepiej skonfigurować na stałe określone adresy, oraz ustawić na wszelki wypadek w Wireshark filtr wycinający te adresy IP.
    Można ustawić IP i maskę tak aby była w nasłuchiwanej podsieci, ale tak naprawdę nie ma to znaczenia gdyż karty ustawiamy w tryb promiscuous mode (tryb mieszany) i przechwytujemy dowolny ruch.

    Co do długości to oryginalny przewód do urządzenia miał jakieś 5m, przewód łączący rozgałęźnik z urządzeniem to ok. 3m, natomiast przewody od tapów to 2x1m. Myślę że można by "regenerować" sygnał tanim przełącznikiem fast etherent za kilkadziesiąt PLN.

  • #13 14 Maj 2018 21:33
    IS
    Poziom 16  

    Ciekawe czy nadal tanie switche z małą pamięcią można po zasypaniu fałszywymi MAC adresami zmusić do działania jako HUB. Kiedyś się tak dawały atakować.

  • #14 14 Maj 2018 23:15
    vayo
    Poziom 14  

    krru napisał:
    Skoro i tak potrzeba komputera z dwiema kartami sieciowymi, to wystarczy zainstalować na nim oprogramowanie typu "bridge" do połączenia logicznego kart sieciowych ze sobą i rejestrować transmisję przez jedną. Żadne dziwne przejściówki nie będą potrzebne.


    Dokładnie jestem tego samego zdania. Ja w takich przypadkach korzystam z dodatkowej karty na USB. Przyznam szczerze, że nawet nie byłem świadomy możliwości zlinkowania się karty mającej podłączone tylko RX. Sama koncepcja jako ciekawostka podoba mi się, ale w praktyce na pewno nie wykorzystam.

  • #15 15 Maj 2018 16:21
    TechEkspert
    Redaktor

    Port mirroring wykorzystywany jest czasami na produkcji, np. do nagrywania rozmów w callcenter niezależnie od wykorzystywanych rozwiązań Voip. Pakiety RTP i sygnalizacja trafiają do nagrywarki która składa dane w nagrania rozmów konsultantów.

    Nieco zbliżonym do opisanego rozwiązania jest dioda danych. Urządzenie pozwalające na jednokierunkową komunikację oraz separację galwaniczną. Co ciekawe dioda danych obudowana odpowiednim proxy pozwala symulować dwukierunkowy ruch. Np. można zrobić system odbierający maile, gwarantujący że żadna informacja z chronionego systemu nie wróci do nadawcy lub atakującego.

  • #16 19 Maj 2018 12:58
    3149400
    Użytkownik usunął konto