我喜欢新的安全测试工具。没有什么比找到一些神奇的代码更能让你以独特和不自然的方式使用和滥用协议了。今年我在Blackhat认识了洛基,我们一见钟情。这里有一个工具,我不仅可以使用它来识别第三层路由协议部署中的弱点,还可以展示攻击者如果能够操纵动态路由协议可以做什么。LOKI采用了许多单独的命令行工具,并添加了一个简单的GUI,甚至使我们中间最容易使用的脚本看起来都像一个网络忍者。
许多网络安全审计揭示了用于构建公司路由表的第三层协议的薄弱安全实践。在大多数情况下,这些漏洞要么被忽略,要么在更“严重”的安全漏洞被处理后被列在一份清单上。如果你有一个电子商务网站,有50个SQL注入漏洞在你面前,你最不担心的事情就是有人黑进了OSPF。随着LOKI的发布,这些以前低风险的网络漏洞从不太可能上升了几个等级,让我在被攻击之前更好地处理这个问题。
Loki是一个框架,可以创建模块,为各种第3层协议提供协议栈级别支持。这就像在笔记本电脑内部填写路由器而不是在手臂下面携带它(用路由器走出来,被认为是某些圈子的壮阳药。使用Loki,您不仅可以参与网络路由,还可以对笔记本电脑进行REROUTE流量,让您捕获敏感的流量并在中间攻击中执行人员。所支持的当前协议列表和实现的协议攻击是:
- ARP-欺骗,扫描和嗅探
- HSRP, HSRPv2, VRRP, VRRPv3—IP地址劫持
- RIP、BGP、OSPF- Route注入、MD5认证破解、拒绝服务
- EIGRP和WLCCP(由于是思科专有的,尚未发布)
- BFD- BFD会话的DoS
- LDP注入标签映射消息
- MPLS-改写MPLS标签,MPLS- vpn网络栈
你是怎么抵御洛基的?有许多良好的安全实践可用于保护动态路由基础设施。位于德国海德堡的ERNW的安全研究人员设计了LOKI,他们在白皮书中创建了一个漂亮的图表,展示了具有潜在安全改进价值的缓解技术,与实施保护性控制的行政负担进行了对比。两列中的5将提供强大的安全性,并且易于实现控制。另一方面,另一个则代表低安全性和管理上的负担,以实现。
资料来源:ERNW Blackhat2010-工具Loki介绍
两种最常见、相对简单的防御动态路由攻击的方法是通过MD5哈希验证路由更新和在用户段上配置被动接口命令。MD5哈希在路由更新中应用一种密码类型,使没有密码的设备无法参与动态路由过程。良好的密码创建实践应该在适当的地方,以防止暴力破解或字典破解MD5哈希。Loki可以通过一个集成的密码破解模块来测试MD5密码强度。该命令在任何不需要路由更新的用户接口上配置。它阻止路由器或交换机通过配置它的接口发布路由更新。对于像EIGRP和OSPF这样的协议,这个命令将阻止网络上设备之间形成邻接关系。对于RIP,它只是阻止路由的发布,并且仍然会侦听传入路由的发布,从而减少了该特性提供的一些保护。底线是,网络需要实现这两个特性,以帮助降低该工具所代表的风险。
在我看来,Loki应该是任何网络审计师或渗透测试人员工具包中受欢迎的新成员。我希望它能成为一种催化剂,让人们意识到薄弱的基础设施安全控制的影响。你打算在网络评估中使用洛基吗?请点击下方的评论按钮,告诉我们你的想法。