E 'possibile intercettare il traffico di una rete remota? (Con accesso amministratore al router)

La domanda n. 3 è fin troppo aperta per rispondere. Per gli altri, la risposta dipende dal modello di router in questione e, in funzione di ciò, dal significato esatto di "accesso amministratore".

Se il router è un dispositivo basato su Cisco IOS e si dispone dell'accesso al livello di privilegio 15, è possibile utilizzare i normali comandi di sniffing dei pacchetti di IOS che sicuramente consentono di eseguire l'operazione di sniffing. Tuttavia, nessun amministratore Cisco a ragion veduta renderebbe l'interfaccia di amministrazione accessibile da Internet, figuriamoci con una password predefinita, quindi l'attacco non è molto fattibile nella vita reale. Inoltre, ogni amministratore Cisco che valga il proprio stipendio avrebbe impostato la registrazione su un server syslog centrale in modo che il login e tutti i comandi che si utilizzano sarebbero visibili nel registro.

Se si tratta di un normale router consumer a basso costo e si ha accesso alla GUI Web, la maggior parte dei modelli non offre una funzione di sniffing dei pacchetti. Alcuni lo fanno, però. (Spesso su un URL "nascosto" ma ovviamente non è un ostacolo.) La maggior parte dei modelli non è accessibile da Internet per impostazione predefinita, ma alcuni lo sono. Quindi se il router in questione è uno dei modelli con uno sniffer incorporato e accessibile da Internet, allora sì, l'attacco sarebbe fattibile e potrebbe non essere rilevato poiché la maggior parte di questi dispositivi non supporta nemmeno la registrazione su un server di log, e anche se lo fanno, un proprietario che non modifica la password predefinita non configurerà la registrazione. Quindi in questo caso l'attacco dipende interamente dal modello di router specifico e la tua conoscenza di ciò.

Se si tratta di un router basato su Linux (uno dei tanti modelli commerciali che usano un kernel Linux, o qualche dispositivo homebrew) e si ha accesso root al kernel Linux, allora si può ovviamente fare tutto ciò che si desidera. L'accesso root con l'autenticazione tramite password da Internet è comunque decisamente poco saggio, e non la configurazione predefinita per qualsiasi dispositivo che abbia mai visto.

Se puoi effettuare il login da remoto, allora ci sarà ben poco che tu non possa fare. Una volta che hai una shell di root, puoi facilmente eseguire tcpdump. È possibile leggere i database locali che forniscono le chiavi di crittografia altrove. Se all'interno di quella shell, mancano i comandi; puoi scrivere o semplicemente trovare i comandi che desideri. Se riesci a entrare, probabilmente c'è molta larghezza di banda; e potresti passare inosservato per un po 'finché le cose continueranno a funzionare.

link

Tuttavia, la maggior parte delle persone permetterà all'ISP di configurare il router che si collega all'ISP; e che non avrà la password predefinita e farà entrare il mondo. Verizon usa un UUID enorme per la chiave di crittografia (scritta su un adesivo sul modem), ecc. Ci saranno cose mal configurate là fuori, ma non è come se fossero usate essere (con gli utenti finali che vanno a Best Buy e (mis) configurando lui stesso).

Dato che stiamo parlando di traffico HTTP non crittografato (se è crittografato, basta lasciarlo) spingere il server sulla porta desiderata, spingere verso l'alto il servizio DNS fasullo, che restituirà l'IP del server su ogni richiesta DNS e cambiare parametro DHCP router "Server DNS" sull'IP del tuo server.

Oltre a tentare di sniffare i pacchetti sul router stesso, ci sono, naturalmente, dei metodi che ti permettono di sfruttare il fatto che hai un certo controllo sul router per abilitare gli attacchi in altri luoghi dove hai maggiore flessibilità e ampli ; facilità di annusare il suo traffico. Due esempi:

1. Se il router ha la capacità e l'accesso è consentito, configura il router per inoltrare il traffico http in uscita a un server proxy trasparente che hai configurato, con qualsiasi pacchetto di sniffer che desideri eseguire sulla scatola o VM al suo fianco. La parte "trasparente" significa che l'utente sul client finale (ad esempio lui, utilizzando il suo computer) non sarà in grado di rilevare eventuali modifiche nelle impostazioni di rete del suo dispositivo, perché non saranno necessarie o si verificano tali modifiche; tutto sarà fatto dal suo router e dal tuo proxy. Per quanto riguarda il fatto che questo sollevi dei sospetti con un utente finale incidendo significativamente sulla velocità della connessione, suppongo che dipenda dalle prestazioni del tuo server proxy selezionato e dalla latenza aggiunta dalla lunghezza del segmento tra il suo router e il tuo server, tra gli altri fattori. Apache configurato come proxy trasparente, in esecuzione su un'istanza AWS con specifiche appropriate, potrebbe essere un modo abbastanza semplice per impostare qualcosa di simile e ottenere prestazioni proxy non-pessime. Contro un utente ordinario, la tattica sarebbe probabilmente passata inosservata per un po 'di tempo nella maggior parte dei casi. Contro una persona esperta di tecnologia che osserva specificamente le anomalie di latenza della connessione ... nessuna garanzia.

2. Modifica le impostazioni del server DNS in modo che faccia riferimento al server DNS malevolo che hai impostato, indicandolo quando richiede un sito http non crittografato / semplice a una pagina di errore dall'aspetto legittimo contenente un elemento malevolo che hai allegato con Metasploit. Se esegue un client Java senza patch o una versione Flash, è possibile rilasciare un payload https inverso sulla sua scatola, quindi entrare ed eseguire uno sniffer o condividere il suo schermo e guardarlo mentre spara via il ping verso qualsiasi luogo. : -)

(Nota: questa seconda cosa era una battuta: andare oltre la modifica della configurazione del router di un altro utente per hackerare il PC senza il suo ulteriore consenso esteso avrebbe oltrepassato la portata di ciò che si è autorizzati a fare. la legalità delle tue azioni. Non andare lì.)