Прослушивание сети с помощью Cisco PIX/ASA

На нашем сайте с завидной периодичностью появляются посвящённые перехвату сетевого трафика статьи. Мы решили не нарушать традицию и вновь представить нашим читателям материал, посвящённый перехвату сетевого трафика с помощью аппаратных средств. На этот раз в качестве аппаратной платформы был выбран аппаратный брандмауэр Cisco PIX. В пришедшей на смену серии PIX линейке Cisco ASA также поддерживается описываемый здесь функционал. Мы не станем разбирать все возможности сетевой операционной системы по перехвату и указывать ситуации, в которых такой функционал может потребоваться сетевому администратору, уверены, читатели легко найдут применение материалу сами. Также хотелось бы отметить, что все размещённые здесь данные и примеры представлены исключительно в образовательных целях. Итак, к делу!

Для тестовых целей мы использовали брандмауэр Cisco PIX 515 с тремя Fast Ethernet интерфейсами, параметры которого представлены ниже.

Hardware:   PIX-515, 128 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
Cisco PIX Security Appliance Software Version 8.0(4)

В привилегированном режиме командной строки брандмауэра пользователю доступна команда capture. Подробное описание всех возможностей данной команды доступно на веб-сайте производителя.

pix515# ?
 aaa-server                    Specify a AAA server
 activation-key                Modify activation-key
 asdm                          Disconnect a specific ASDM session
 blocks                        Set block diagnostic parameters
 capture                       Capture inbound and outbound packets on one or
 more interfaces
 cd                            Change current directory
 clear                         Reset functions
 client-update                 Execute client updates on all or specific
 tunnel-groups
 clock                         Manage the system clock
 configure                     Configure using various methods
 copy                          Copy from one file to another
 cpu                           general CPU stats collection tools
 crashinfo                     Crash information
 crypto                        Execute crypto Commands
 debug                         Debugging functions (see also 'undebug')
 delete                        Delete a file
 dir                           List files on a filesystem
 disable                       Exit from privileged mode
 downgrade                     Downgrade the file system and reboot
 dynamic-access-policy-config  Activates the DAP selection configuration file.
 eou                           EAPoUDP
 erase                         Erase a filesystem
<--- More --->

Первое что требуется сделать, это задать имя для создаваемого нами перехвата. После задания имени необходимо указать интерфейс, на котором будет осуществляться перехват. Если не указать интерфейс для перехвата, то сам перехват будет выглядеть как живой, но данные в его буфер попадать не будут. Фильтровать сохраняемые данные можно с помощью заранее сконфигурированного списка доступа, либо же вручную указывая критерии отбора сетевого трафика.

pix515# capture ?
 WORD  Capture name
pix515# capture test ?
 access-list      Capture packets that match access-list
 buffer           Configure size of capture buffer, default is 512 KB
 circular-buffer  Overwrite buffer from beginning when full, default is
 non-circular
 ethernet-type    Capture Ethernet packets of a particular type, default is IP
 headers-only     Capture only L2, L3 and L4 headers of packet without data in
 them
 interface        Capture packets on a specific interface
 match            Capture packets matching five-tuple
 packet-length    Configure maximum length to save from each packet, default
 is 68 bytes
 real-time        Display captured packets in real-time. Warning: using this
 option with a slow console connection may result in an
 excessive amount of non-displayed packets due to performance
 limitations.
 trace            Trace the captured packets
 type             Capture packets based on a particular type
 <cr>
pix515# capture test interface ?
Available interfaces to listen:
 inside         Name of interface Ethernet1
 outside        Name of interface Ethernet0

Попробуем отобрать весь ICMP-трафик с любого хоста на любой, который проходит через внутренний интерфейс брандмауэра. Для чего воспользуемся нижеприведённой командой.

capture test interface inside match icmp any any

Как только вызов выполнен брандмауэр начинает сохранять в буфере удовлетворяющие условию пакеты. Убедиться в этом можно с помощью команды show capture. Размер буфера можно сконфигурировать с помощью параметра buffer команды capture. Также можно использовать циклический буфер с помощью параметра circular-buffer.

pix515# show capture
capture test type raw-data interface inside [Capturing - 30780 bytes]
 match icmp any any

Если требуется посмотреть перехваченные данные, то можно конкретизировать вызов show capture, задав имя интересующего перехвата.

pix515# sho capture test
522 packets captured
 1: 21:24:38.629087 192.168.1.2 > 192.168.1.1: icmp: echo request
 2: 21:24:38.630765 192.168.1.1 > 192.168.1.2: icmp: echo reply
 3: 21:24:39.630109 192.168.1.2 > 192.168.1.1: icmp: echo request
 4: 21:24:39.631665 192.168.1.1 > 192.168.1.2: icmp: echo reply

Также возможно просматривать не только общие сведения о пакетах, но и само их содержимое.

pix515# sho capture test dump
522 packets captured
 1: 21:24:38.629087 192.168.1.2 > 192.168.1.1: icmp: echo request
0x0000   4500 003c 12a7 0000 7e01 9781 ac11 2324        E..<....~.....#$
0x0010   c0a8 02bb 0800 35cb 0001 1790 6162 6364        ......5.....abcd
0x0020   6566 6768 696a 6b6c 6d6e 6f70 7172 7374        efghijklmnopqrst
0x0030   7576 7761 6263 6465 6667 6869                  uvwabcdefghi
 2: 21:24:38.630765 192.168.1.1 > 192.168.1.2: icmp: echo reply
0x0000   4500 003c 4656 0000 ff01 e2d1 c0a8 02bb        E..<FV..........
0x0010   ac11 2324 0000 3dcb 0001 1790 6162 6364        ..#$..=.....abcd
0x0020   6566 6768 696a 6b6c 6d6e 6f70 7172 7374        efghijklmnopqrst
0x0030   7576 7761 6263 6465 6667 6869                  uvwabcdefghi

В том случае, когда требуется сохранить результаты перехвата можно их просто скопировать на флеш, либо сразу же передать по сети на FTP или TFTP сервера. В нижеприведённом листинге мы сначала сохраняем на флеш, а потом ещё и копируем этот файл FTP-сервер, размещённый в нашем примере на компьютере с IP-адресом 192.168.1.1, на котором заведён пользователь admin с паролем admin.

pix515# sho fla
Directory of flash:/
4      -rw-  7538688     18:01:44 May 09 2009  pix804.bin
7      -rw-  10101       01:40:46 May 24 2009  pix515-2_conf_20090523
9      -rw-  19369       03:58:47 May 24 2009  pix515-1_conf_20090523
15998976 bytes total (8401920 bytes free)
pix515# copy /pcap capture:/test flash:/test
Source capture name [test]?
Destination filename [test]?
!!!!
222 packets copied in 0.280 secs
pix515# sho fla
Directory of flash:/
4      -rw-  7538688     18:01:44 May 09 2009  pix804.bin
7      -rw-  10101       01:40:46 May 24 2009  pix515-2_conf_20090523
9      -rw-  19369       03:58:47 May 24 2009  pix515-1_conf_20090523
12     -rw-  15579       23:05:37 Apr 15 2010  test
15998976 bytes total (8386048 bytes free)
pix515# copy flash:/test ftp:// admin:Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра..1.2
Source filename [test]?
Address or name of remote host [192.168.1.2]?
Destination username [admin]?
Destination password [admin]?
Destination filename [test]?
!!!!!
15579 bytes copied in 0.250 secs

В приведённом выше листинге необходимо особое внимание уделить параметру /pcap, который указывался при копировании из capture на flash, так как именно при его указании происходит копирование данных в формате, понятном утилитам TCPdump и Wireshark, иначе же данные будут скопированы в текстовом формате.

Забрав файл test с FTP-сервера, мы открыли его в Wireshark для последующего анализа. Таким «анализом» может являться, например, восстановление голосовых данных из RTP-потока.

Остановить перехват можно с помощью команды no capture name, где name – название перехвата.

На этом краткий обзор возможностей Cisco PIX/ASA по перехвату сетевого трафика завершается.

Восстановление голоса из перехваченных RTP-потоков

На наших страницах не один раз появлялись материалы о том, как можно осуществлять аппаратный перехват трафика в сети. В тех случаях, когда перехват осуществляется с помощью SOHO-маршрутизаторов, у администратора нет возможности сохранять большие объёмы данных, либо делать перехват с большой скоростью. Казалось бы, для современных сетей это теряет актуальность, однако сегодня мы хотим представить одну ситуацию, в которой возможностей существующих продуктов будет достаточно. Речь идёт о перехвате голосового трафика для его последующего анализа и восстановления аудиоданных с помощью утилиты Wireshark.

Кроме описанных уже на нашем сайте способов аппаратного перехвата трафика существует и традиционный перехват с помощью самого же Wireshark, но для этого требуется, чтобы все необходимые потоки попадали и на компьютер со снифером. Этого можно достичь подключением всех узлов к концентратору, что, к сожалению, приведёт к падению производительности всей сети, поэтому такой вариант считаем неприемлемым. Ещё одним вариантом является возможность зеркалирования проходящих данных в специальный порт. Так, например, коммутаторы Catalyst 2950 компании Cisco Systems позволяют выделить отдельный интерфейс, в который будут перенаправляться интересующие потоки. В приведённой ниже конфигурации передаваемые через порт Fa0/5 данные будут копироваться в порт Fa0/10.

Switch(config)# monitor session 1 source interface fastEthernet0/5

Switch(config)# monitor session 1 destination interface fastEthernet0/10

Недостатком такой схемы будет невозможность обычной работы хоста, подключённого к порту Fa0/10. Другими словами узел, подключённый к интерфейсу Fa0/10 сможет только получать зеркалированные данные, но не сможет отправлять и получать свои собственные фреймы.

В проводных маршрутизаторах Linksys RVS4000 указанная выше проблема отсутствует, однако существует другая – администратор может получить только входящие данные, но не исходящие из порта. Конечно же, можно было бы зеркалировать все порты, но использование IPSec с WAN-порта может существенно усложнить задачу, если за RVS4000 расположен только один из собеседников, и телефонный трафик шифруется при передаче через интернет с помощью IPSec. Мы обращались в Linksys с этой проблемой несколько раз, но, к сожалению, не смогли получить никакого вразумительного ответа или обещания решить указанную проблему в будущих прошивках. Настроить зеркалирование входящего потока данных можно в пункте Port Mirroring меню L2 Switch.

Маршрутизатор ASUS RX3042H позволяет отдельно указать какие потоки и из каких портов необходимо зеркалировать. Увы, среди этих портов нет WAN-интерфейса. Настройка обсуждаемой возможности в данной модели производится с помощью пункта Port Mirroring меню Router Setup.

Предположим, что каким-то образом нам всё-таки удалось перехватить заветные пакеты и сохранить их. Откроем этот файл в Wireshark. В случае, когда пакеты RTP теряются среди огромного количества других данных, можно настроить фильтр, указав rtp в соответствующем поле.

Выберем один RTP-пакет из разговора и обратимся к меню Telephony-RTP-Stream Analysis.

Изучение статистической информации о перехваченном голосовом потоке не входит в наши планы, поэтому мы сразу перейдём к сохранению аудиоданных, для чего необходимо нажать кнопку Save payload…

В окне сохранения аудио-файла требуется указать его имя и местоположение, формат, а также выбрать сохраняемый канал-направление. К сожалению, в Wireshark с сохранением аудио-файла тоже не всё хорошо, вам придётся установить самую последнюю версию (хотя бы новее версии 1.2.4, в которой исправлена ошибка 4120) для того, чтобы иметь возможность сохранять в один файл оба направления.
Кроме непосредственного сохранения перехваченного телефонного разговора может возникнуть необходимость предварительного прослушивания записи. Для решения указанной проблемы требуется обратиться к меню Telephony-VoIP Calls, в котором будут представлены все перехваченные разговоры.

Далее требуется выбрать нужный разговор и нажать кнопку Player. В появившемся окне следует нажать кнопку Decode. Опция Use RTP timestamp позволяет использовать встроенные в RTP отметки времени вместо того, чтобы ориентироваться на время прибытия пакетов. Изменение параметра Jitter buffer [ms] позволяет эмулировать воспроизведение реального голосового потока с конкретного устройства с фиксированным объёмом входного буфера.

Сразу же после декодирования появляется возможность прослушивания перехваченного потока аудио-данных с помощью кнопок Play, Pause и Stop.

Краткий обзор голосовых возможностей Wireshark на этом завершается. В заключении добавим, что по похожему принципу строятся офисные системы записи телефонных переговоров: перехватывается весь поток данных SIP или H.323 сервера, а также трафик с самих телефонных аппаратов для последующего детального анализа. Задача существенно упрощается в том случае, когда под телефонию выделяется отдельный VLAN.

Перехват трафика в Windows с помощью KIS 2010

Видимо, перехват сетевого трафика – модная возможность в современном мире, если даже производители антивирусной защиты начали встраивать её в свои продукты. Перехватчики общего назначения известны (Ethereal/Wireshark, Network Monitor) всем сетевым специалистам, в случае же специфических потребностей можно либо анализировать сохранённые снифферами пакеты, либо написать собственный продукт под Windows с помощью библиотеки WinPcap, либо под *nix системы. Такой перехватчик появился впервые в продукте сетевой защиты Kaspersky Internet Security версии 2009 года. В KIS 2010 сниффер не претерпел существенных изменений. Мы установили KIS 2010 (9.0.0.463) на операционную систему Windows XP x64 Eng SP2 и KIS 2009 (8.0.0.506) на Windows Vista Ultimate x64 Eng SP2 и приступили непосредственно к перехвату с помощью пункта Анализ сетевых пакетов меню Безопасность+ (Защита-Фильтр содержимого-Анализ сетевых пакетов для версии 2009).

Правда, отображение монитора Анализа сетевых пакетов нужно сначала разрешить в группе Анализ сетевых пакетов пункта Сеть меню Параметры.

Далее речь пойдёт исключительно о версии Kaspersky Internet Security 2010, хотя отличий сетевого анализатора нет. Хотелось бы обратить внимание читателя на то, что сетевой анализатор в KIS 2009/2010 нельзя назвать полноценным, он предназначен, скорее, для беглого просмотра входящего и выходящего трафика.

Вы вполне сможете просмотреть флаги транспортного протокола TCP, однако изучать содержимое протокола HTTP придётся вручную. Сетевые анализаторы общего назначения (Wireshark и NetMon) обладают куда более внушительным списком поддерживаемых протоколов.

Кроме указанного ограничения существует и ещё одно: нет возможности экспорта перехваченных данных для их обработки в другой программе. Также невозможно импортировать трафик из другого сниффера. Wireshark и NetMon, естественно, обладают возможностью сохранения сетевого трафика в формате, понятном другим программным продуктам.

Удивление вызвала и загрузка процессора при работе анализатора сетевых пакетов в KIS2009/2010. Параметры аппаратного обеспечения одной из тестовых машин представлены ниже. При такой аппаратной платформе на Windows XP x64 SP2 Eng наблюдалась 50% загрузка обоих ядер. Мы запустили анализатор на аналогичной аппаратной платформе, но под Windows Vista x64 SP2 Rus. Ситуация с половинной загрузкой повторилась.

На компьютер под Windows XP x32 SP3 Rus с одноядерным процессором и частотой 1.5 ГГц был установлен KIS2010. Загрузка этого процессора составила 100%.

Естественно, мы обратились к технической поддержке производителя антивирусного продукта за разъяснениями, ведь на указанных аппаратных платформах работа прочих сетевых анализаторов не приводила к сколь-нибудь заметной загрузке процессора. Полученный ответ нас, мягко говоря, удивил. Из ответа следовало, что такое поведение KIS2009/2010 является нормальным, так как антивирус проводит глубокий анализ проходящего трафика, поэтому Лаборатория Касперского не рекомендует непрерывное использование анализатора сетевых пакетов. Удивление усиливалось ещё и потому, что в момент тестов по сети передавалось 1-2 пакета в секунду.

Хотелось бы отдельно указать на то, что в данной статье мы не обсуждаем достоинства или недостатки всего программного комплекса Kaspersky Internet Security, но лишь рассматриваем встроенный в антивирусный продукт анализатор сетевых пакетов.

Краткий обзор сетевого анализатора, появившегося в программных средствах сетевой защиты Лаборатории Касперского на этом завершается.