|
|
Страница 1 из 1
|
[ Сообщений: 17 ] |
|
Непростая задачка: как попасть на маршрутизатор?
Автор |
Сообщение |
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Пусть Вы - несправедливо обиженный работник IT отдела, который остался ночью якобы поработать, но на самом деле вынашиваете грозные планы возмездия!
Ваша задача - получить доступ к привилегированному режиму маршрутизатора cisco, стоящему как шлюз выхода в интернет.
Вы пробрались в небольшую серверную, увидели маршрутизатор. Вот как бы и всё, но увы, вам в своё время на глаза попался кусочек конфига этого маршрутизатора. Вот он:
no service password-recovery ! access-list 1 permit host 4.4.4.4 ! line vty 0 4 no login privilege 15 access-class 1 in Пароля на режим enable Вы не знаете. Ничего пронести в серверную вам не удалось, но тут же рядом на полке вы увидели бесхозную ASA 5510 в коробке с модулем AIP-SSM. Там же в серверной жужжал и комп с консолью, но увы, сетевухи в нём не было.
ASA оказалась новенькой, ещё не распечатанной, с парой езернет проводков, как полагается, с пустым конфигом, поэтому можете использовать её как хотите.
(Хинт: Вы можете давать команды на маршрутизаторе из непривилегированного режима. Пусть будет такой интерактив: вы спрашиваете, вывод какой команды вам нужен, я его вам пишу.)
Сможете ли вы добиться своих целей?
Дерзайте!
|
18 май 2009, 13:27 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="Fedia"]Пусть Вы - несправедливо обиженный работник IT отдела, который остался ночью якобы поработать, но на самом деле вынашиваете грозные планы возмездия!
Ваша задача - получить доступ к привилегированному режиму маршрутизатора cisco, стоящему как шлюз выхода в интернет. Сможете ли вы добиться своих целей?
Дерзайте![/quote]
>R1 sh ip route >R1 sh ip int brief
Понятно, что скорее всего асу и маршрутизатор нужно соединить по двум портам друг с другом (ну я так думаю). К самому роутеру, мы соединяемся по консоли С асы сессию телнет вроде открывать нельзя поэтому смотрим, какой интерфейс по-умолчанию у роутера, такой же назначаем ethernet 0 (inside) у Асы.
дальше варианты.. route map есть у asa? в общем нужно весь трафик направить на второй интерфейс роутера... здесь нужно думать
|
18 май 2009, 21:39 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="silver"][quote="Fedia"]Пусть Вы - несправедливо обиженный работник IT отдела, который остался ночью якобы поработать, но на самом деле вынашиваете грозные планы возмездия! [/quote]
угу.. подсмотрел на соседнем сайте...
тогда что-то типа такого
ASA
interface Ethernet0 nameif inside security-level 100 ip address 10.100.100.254 255.255.255.0
interface Ethernet1 nameif outside security-level 0 ip address 10.200.200.254 255.255.255.0
global (outside) 1 4.4.4.4 nat (inside) 1 10.100.100.1 255.255.255.255 route outside 0.0.0.0 0.0.0.0 10.200.200.1 1
|
18 май 2009, 22:41 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="silver"] ASA
interface Ethernet0 nameif inside security-level 100 ip address 10.100.100.254 255.255.255.0
interface Ethernet1 nameif outside security-level 0 ip address 10.200.200.254 255.255.255.0
global (outside) 1 4.4.4.4 nat (inside) 1 10.100.100.1 255.255.255.255 route outside 0.0.0.0 0.0.0.0 10.200.200.1 1[/quote]
Предполагается. что Аса подсоеденена через интерфейс e0 к порту FastEthernet0/0.10 и через интерфейс e1 к порту FastEthernet0/0.20
телнет мы производим с роутера, командой telnet 10.200.200.1 /sou 10.100.100.1
|
18 май 2009, 22:45 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
silver писал(а): silver писал(а): ASA
interface Ethernet0 nameif inside security-level 100 ip address 10.100.100.254 255.255.255.0
interface Ethernet1 nameif outside security-level 0 ip address 10.200.200.254 255.255.255.0
global (outside) 1 4.4.4.4 nat (inside) 1 10.100.100.1 255.255.255.255 route outside 0.0.0.0 0.0.0.0 10.200.200.1 1 Предполагается. что Аса подсоеденена через интерфейс e0 к порту FastEthernet0/0.10 и через интерфейс e1 к порту FastEthernet0/0.20 телнет мы производим с роутера, командой telnet 10.200.200.1 /sou 10.100.100.1 Gate> sh ip int br FastEthernet0/0.10 10.100.100.1 YES NVRAM up up FastEthernet0/0.20 10.200.200.1 YES NVRAM up up FastEthernet0/1 Unassigned shutdown Gate> sh ip ro C 10.100.100.0/24 is directly connected, f0/0.10 C 10.200.200.0/24 is directly connected, f0/0.20 S* 0.0.0.0/0 [1/0] via 10.100.100.254 Как вы предполагаете подключить 2 интерфейса АСА к 1 интерфейсу циски? Есть ещё над чем доработать, но направление в целом верное!
|
18 май 2009, 23:22 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="Fedia"]
Как вы предполагаете подключить 2 интерфейса АСА к 1 интерфейсу циски? :)
Есть ещё над чем доработать, но направление в целом верное![/quote]
Мда :-)
sh int fa FastEthernet0/0.10 sh int fa FastEthernet0/0.20
|
18 май 2009, 23:34 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="silver"]
sh int fa FastEthernet0/0.10 sh int fa FastEthernet0/0.20[/quote]
Кстати, Вы пока единственный озаботились номерами ВЛАНов на подынтерфейсах :)))
FastEthernet0/0.10 is up, line protocol is up Hardware is MV96340 Ethernet, address is 0013.7f1f.6560 (bia 0013.7f1f.6560) Internet address is 10.100.100.1/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation 802.1Q Virtual LAN, Vlan ID 100. ARP type: ARPA, ARP Timeout 04:00:00 Last clearing of "show interface" counters never
FastEthernet0/0.20 is up, line protocol is up Hardware is MV96340 Ethernet, address is 0013.7f1f.6560 (bia 0013.7f1f.6560) Internet address is 10.200.200.1/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation 802.1Q Virtual LAN, Vlan ID 200. ARP type: ARPA, ARP Timeout 04:00:00 Last clearing of "show interface" counters never
|
18 май 2009, 23:56 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
ВО. отлично, уже очень близко!
Но: задайте себе 2 вопроса:
На какой адрес вы будете писать телнет? По какому маршруту пойдёт прямой пакет и обратный пакет?
Ведь телнет на 10.200.200.254 ведет в вашем конфиге на АСУ
|
19 май 2009, 06:38 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="Fedia"]ВО. отлично, уже очень близко!
Но: задайте себе 2 вопроса:
На какой адрес вы будете писать телнет? По какому маршруту пойдёт прямой пакет и обратный пакет?
Ведь телнет на 10.200.200.254 ведет в вашем конфиге на АСУ[/quote]
можно обычный роутер использовать вместо АСЫ? :-) ну не понимаю я в них ничего :-) я так понимаю здесь еще одна сложность будет... необходимо будет, что бы трафик на асу возвращался на тот же интерфейс, с которого пришел запрос, иначе аса будет рубить такой трафик?
|
19 май 2009, 07:13 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Верно. Сложность есть. Подскажу: она в общем случае решается методом, приведенном в предыдущей задачке (такая Лемма получилась ), а в частном - применением спецключа в команде telnet Вместо ASA нельзя поставить рутер - будет очень НЕ интеренсно, ведь на рутере есть встроенный телнет клиент, и достаточно будет написать telnet 10.100.100.1 /so loop 0 где loop 0 имеет адрес 4.4.4.4 Какая же это сложная задачка
|
19 май 2009, 09:56 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ну что же, дорогие мои, думаю пришло время открывать карты. Первое решение. Итак, что мы имеем: 1. На компе нет езернета — его только для конфига 2. На АСА тоже нет клиента (телнет и ssh) — значит её надо как то по-другому использовать 3. Циска сама на себя зайти не сможет, т.к. телнет и ssh пропущены только с некоего хоста 4.4.4.4 4. Про маршрутизацию мы знаем, что есть дефолтный маршрут на 10.100.100.254 5. Про интерфейсы мы знаем, что их 2, логических, значит работают с 802.1q метками 6. Надо ещё поинтересоваться (никто не спросил вывод команды sh int), какие же VLANы обслуживаются подынтерфейсами. На антицискином форуме поинтересовались. тут маленький подвох: номер подынтерфейса не совпадает с обслуживаемым VLAN. int f0/0.10 — VLAN 100, int f0/0.20 — VLAN 200 Задача сводится к следующему: надо с маршрутизатора (только там есть встроенный телнет клиент) открыть на КАКОЙ ТО адрес телнет сессию так, чтобы пакет убежал на АСУ, там куда то странслировался и прибежал ОБРАТНО на циску, но уже с другими адресами, причём адрес источника должен быть 4.4.4.4 Решение: 1. Подключаем хвост АСЫ е0/0 к порту f0/0 2. Создаём 2 подынтерфейса asa(config)# int e0/0.10 asa(config-if)# vlan 100 asa(config-if)# ip address 10.100.100.254 255.255.255.0 asa(config-if)# security-l 0 asa(config-if)# nameif outside
asa(config)# int e0/0.20 asa(config-if)# vlan 200 asa(config-if)# ip address 10.200.200.254 255.255.255.0 asa(config-if)# security-l 100 asa(config-if)# nameif inside
3. Как заставить циску обратиться не через дефолтный маршрут? Смотрим предыдущую задачку: нам поможет только АРП. Значит на АСЕ надо странслировать адрес 10.100.100.1 в некий адрес из сети 10.200.200.0/24 static (outside,inside) 10.200.200.2 10.100.100.1Читаем: если пакет бежит с интерфейса outside на интерфейс inside, его адрес источника транслируется с 10.100.100.1 на 10.200.200.2. Ну а если мы обращаемся на 10.200.200.2, то прокидываемся на 10.100.100.1 Осталось малость: подделать адрес источника на 4.4.4.4 static (inside,outside) 4.4.4.4 10.200.200.1Я транслирую именно адрес интерфейса 10.200.200, а обращаюсь на 10.100.100 не спроста: обратный пакет с рутера должен пробежать по дефолтному маршруту, т.к. адрес 4.4.4.4 ему не принадлежит, а значит ответ должен уйти с интерфейса 10.100.100 Осталось пропустить снаружи телнет (и ssh) трафик: access-list FROMOUT permit tcp any any eq 23 access-list FROMOUT permit tcp any any eq 22
access-group FROMOUT in int outside
и мы в дамках )
|
20 май 2009, 16:16 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="Fedia"]Ну что же, дорогие мои, думаю пришло время открывать карты. Первое решение.
и мы в дамках :))[/quote]
я пытался решить ситуацию так:
! interface Ethernet0 no nameif security-level 100 no ip address ! interface Ethernet0.10 vlan 100 nameif inside security-level 100 ip address 10.100.100.254 255.255.255.0 ! interface Ethernet0.20 vlan 2 nameif outside security-level 10 ip address 10.200.200.254 255.255.255.0 !
access-list out extended permit tcp any any access-list out extended permit ip any any static (inside,outside) 10.200.200.100 10.100.100.1 netmask 255.255.255.255 static (outside,inside) 10.100.100.200 10.200.200.1 netmask 255.255.255.255 access-group out in interface outside access-group out out interface outside route outside 0.0.0.0 0.0.0.0 10.200.200.1 1
при такой конфигурации у меня все отлично работает.. как в одну, так и в другую сторону... static (inside,outside) 4.4.4.4 10.100.100.1 netmask 255.255.255.255
и все... больше ничего не живет :-)
все осложняется тем, что асы совсем не знаю, и первый опыт, по сути, это сейчас, причем в эмуляторе (правда не думаю, что сильно отличается от боевого железа :-) ) Но отладка в этой асе... для меня тайна за семью печатьями... я просто в ней и умер.
|
20 май 2009, 20:43 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Вы не тот статик меняете
Дело вот в чём:
чтобы рутер мог ответить на 4.4.4.4, надо, чтобы ответ убегал с интерфейса 10.100.100.1 (там дефолтный маршрут)
Значит "заходить" надо с интерфейса 10.200.200.1
static (outside,inside) 10.200.200.2 10.100.100.1
задаст возможность обратиться по телнету на адрес
telnet 10.200.200.2
и пойти с 200 интерфейса по телнету. Далее, второй статик подменяет адрес источника на 4.4.4.4, чтобы заходить с "правильного" адреса. У вас получается наоборот: пакет прибегает на интерфейс 10.200.200, а убегает с 10.100.100 по дефолту и АСА его не пропускает.
Кажется так
|
20 май 2009, 21:11 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="Fedia"]Вы не тот статик меняете
Дело вот в чём:
чтобы рутер мог ответить на 4.4.4.4, надо, чтобы ответ убегал с интерфейса 10.100.100.1 (там дефолтный маршрут)
Значит "заходить" надо с интерфейса 10.200.200.1
static (outside,inside) 10.200.200.2 10.100.100.1
задаст возможность обратиться по телнету на адрес
telnet 10.200.200.2
и пойти с 200 интерфейса по телнету. Далее, второй статик подменяет адрес источника на 4.4.4.4, чтобы заходить с "правильного" адреса. У вас получается наоборот: пакет прибегает на интерфейс 10.200.200, а убегает с 10.100.100 по дефолту и АСА его не пропускает.
Кажется так[/quote]
Понял. Всему виной моя невнимательность, я почему-то решил, что маршрут по умолчанию как раз 10.200.200.1
|
20 май 2009, 21:24 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Наверняка вы заметили "ружье", в виде AIP-SSM, которое ещё не выстрелило Действительно, второй способ проникнуть на циску связан именно с ним. Намекну: AIP-SSM - это полноценный IPS, который в свою очередь, представляет из себя ... Линукс, с цискиной софтой
|
21 май 2009, 14:44 |
|
|
silver
Зарегистрирован: 07 май 2009, 21:29 Сообщения: 14
|
[quote="Fedia"]Наверняка вы заметили "ружье", в виде AIP-SSM, которое ещё не выстрелило :)
Действительно, второй способ проникнуть на циску связан именно с ним.
Намекну: AIP-SSM - это полноценный IPS, который в свою очередь, представляет из себя ... Линукс, с цискиной софтой :)[/quote]
Попробую предположить, или пофантазировать, т.к. знаю только то, что только что про данный модуль прочитал :-)
1. Необходимо настроить АСУ в Inline режим. 2. Настроить class-map
ASA(config)# class-map IPS ASA(config-cmap)# match any
3. Отправить на AIP SSM telnet трафик предназначенный хосту 4.4.4.4 ASA(config)# access list IPS_ACL extended permit ip any 4.4.4.4 255.255.255.255 eq 23 ASA(config)# class-map IPS ASA(config-cmap)# match access-list IPS_ACL
дальше что-то сделать в самом AIP SSM , что бы отправить этот трафик на нужный интерфейс :-)
|
22 май 2009, 20:47 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Увы, трафик, полученный по шине, по шине же и уйдёт и никаких подмен адресов, УВЫ, нельзя сделать Наконец то решение: сорри за задержку - ездил на гонку в Шую:) Итак, нетривиальное решение: AIP-SSM, как настоящий Линукс ящик, можно заставить вам помочь. Для этого для начала AIP-SSM надо подключить езернет-хвостиком к какому-нибуль интерфейсу АСЫ. Вот прямо так: из интерфейса модуля в интерфейс АСЫ. Дело в том, что интерфейс модуля нужен только для управления, но никак не для получения трафика для анализа. Трафик получается по шине. На интерфейсе АСЫ задаём адрес int e0/1 ip addr 4.4.4.1 255.255.255.0 sec 100 nameif HINT Правило НАТа нам не нужно no nat-control На интерфейсе модуля можно задать ip адрес 4.4.4.4, дефолтный шлюз - 4.4.4.1 Потом надо создать сервисного пользователя user NEW pass cisco priv service Это не простой пользователь. Под этой учёткой можно зайти прямо в Линукс! Такой пользователь может быть только один и его пароль синхронизируется с паролем root на Линуксе Далее, заходим в консоль модуля под этой учёткой asa# session 1 login: NEW password: cisco bash2.05$ su root password: cisco А оттуда уже можно ходить телнетом! bash2.05# telnet 10.100.100.1 Вуа-ля!
|
24 май 2009, 12:49 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 17 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|