packetsniff - hogyan?

Offtopic

üdv.!

amikor egy eszköz kommunikációját szeretnénk elemezni, az adatforgalmat figyelni, az ebből keletkező információból pedig építkezni, akkor mivel, hogyan, merre, meddig járunk el?

semmi törvénytelen nincs a dologban, még mielőtt...
van egy kütyü, ami beágyazott linuxot tartalmaz, hálózatra felkötve pedig a bele szabadon konfigurált átjáróhoz akar csatlakozni, ipsec csövön. (lehet benne valami secret key nevű adatot is konfigurálni)
tehát először az ipsec részét kellene megvalósítani, amihez nem konyítok.
a következővel indítottam:
az eszköznek (192.168.5.252) elmeséltem, hogy a 192.168.5.254 nevű háziszerver az átjáró, ahova csatlakoznia kell. ennek a szervernek pedig azt mondtam hogy:
iptables -I INPUT -s 192.168.1.252 -l limit --limit 5/min -j LOG --log-prefix "iptLOG: "
a syslogban keletkezett bejegyzések azt mutatták, hogy az 5.252 spt=33001 dst=34001 portokon akarna kommunikálni valamit.

érdekesség, hogy nyitva van néhány port: (SuperScan 3.00)
-21 File Transfer Protocol (Control)
-3128 Squid Proxy
-6000 6001-6063 X Window System
-6006
-7547
-8080 Standard HTTP Proxy

ezen felül más ilyen jellegű információ nem jött az iptables felől.
kérdésem a hozzáértőkhöz:
hogy folytassam az elemzést, hogyan juthatok el az eszköz által kívánt ipsec konfigurálásához, illetve létezik-e ennek sikeressége után a csövön keresztül menő adatforgalom kielemzése?

van az eszközön egy RJ45-nek tűnő (isdn szerű) aljzat, ez gondolom a soros porti kommunikációhoz kellhet, mert van egy olyan feature hogy serial console...
ehhez még preparálás alatt van a kábel.

  • 1632 megtekintés

( arpi70 (nem ellenőrzött) | 2011. 06. 15., sze – 15:36 )

whireshark nem jatszik?

Bar, ha az adatforgalom titkositott akkor max. a portot es esetleg valami fejlecet tudnal kihamozni - de talan ezen is el lehetne indulni.

----------
Az Örömtündér minden évben ellátogat a Földre és akit megérint a pálcájával az Boldog lesz! De esetleg az is megtörténhet, hogy kiveri belőled még a sz*rt is... (by radcsong)

szerintem nem értjük egymást :)
az van, hogy az eszköz ipsec tunnelt akar felépíteni. na ehhez hiányzik a másik oldal.
kérdés tehát, hogy valami csomagelemzéssel lehet-e reprodukálni a másik oldal ipsec konfigurációját?

--
Aspire_3690 & bP_10.1.1
"amióta esténként kikapcsolom a mobilomat, utolérhetetlen vagyok az ágyban." - ismeretlen szerző

HA ipsec-et akar, akkor nem fogod tudni, két okból nem:
1: ha shared key-es az ipsec akkor lehet, hogy van valami gyengeség, hogy megtaláld az ipsec shared kulcsot. [esély nem sok majd nálam tapasztaltabbak megmondják, hogy lehet-e törni az ipsec-et shared key-el]
2: ha cert-el (tanusítvánnyal) védett az ipsec akkor kb esélyed a 0-hoz közelít, hogy csinálj egy olyan cert-et ami jó neki

( godot v | 2011. 06. 17., p – 15:55 )

Pár dolgot ki lehet deríteni az ike-scan nevű utility-vel, de a PSK ismerete nélkül nem tudod összelőni az ipsec-et. Azt mondjuk nem írod le egyértelműen, hogy tudod-e konfigurálni az eszközt.

http://www.nta-monitor.com/wiki/index.php/Ike-scan_User_Guide
http://www.radarhack.com/dir/papers/Scanning_ike_with_ikescan.pdf

Ha agresszív módot használna az ipsec akkor van esélyed a PSK megszerzésére is.

http://www.nta-monitor.com/posts/2005/01/VPN-Flaws-Whitepaper.pdf

elnézést, lehet hogy nem voltam világos.
az eszköz konfigurációját illetően a következőket tudom beállítani:
-milyen ip címen figyel a gateway ahova neki ipsec-en csatlakozni kell
-mi legyen a saját (belső) ip-je
-milyen dns ip-t használjon
-shared key (ipsec-hez gondolom)
-meg néhány még nem idevágó apróbb beállítás van.

a többit szerintem fent leírtam :)
az a vicc, hogy alapvetően fingom nincs egy ipsec kiszolgáló(?) beállításához, keveset olvastam utána, azt sem értettem meg. nem egyszerű, mint pl pptpd.

--
Aspire_3690 & bP_10.1.1
"amióta esténként kikapcsolom a mobilomat, utolérhetetlen vagyok az ágyban." - ismeretlen szerző

Valóban nem egyszerű téma.
Ha két linux néz egymással farkasszemet, akkor pl ugyan azt az openswan konfigot lehet alájuk tolni. Alapvetően a túloldali konfigot ismerni kell. Egy vpn összelövésekor eleve bizonyos bizalomnak kell lennie a két fél között. Itt nézz körül: http://wiki.openswan.org/
Másrészt alap tudnivaló, hogy az ipsec milyen porton és protokollon kommunikál. Általában az 500-as UDP porton zajlik a forgalom és ebbe van becsomagolva titkosítva az értékes adat. A tcpdump kimenetében magát a "gazda" kapcsolatot lehet látni általában ESP (encapsulated payload)-ként megjelölve.
A kapcsolatról a logokból illetve az "ipsec auto status" és társaiból tudhatsz meg többet.

Linuxscripting

köszönöm, majd folytatom ezirányú olvasásomat.
két dolog hiányzik az eszközhöz:
1. soros port jelölése (mert van a lapon, hogy konzolt lehessen indítani rajta)
2. usb port (mert egyszerűbb is lehetne az élet.
(tényleg, oszcilloszkóp meg logikai analizátor nélkül hogy találunk pcb-n usb csatlakozási lehetőséget?)

--
Aspire_3690 & bP_10.1.1
"amióta esténként kikapcsolom a mobilomat, utolérhetetlen vagyok az ágyban." - ismeretlen szerző

Az usb, meg soros port hardveres megtalálása nem profilom.
A tcpdump segíthet a titkosított forgalomba betekintésbe is, de csak már azután, hogy a kapcsolat sikeresen felépült. Ilyesmit keresgélj: tcpdump -i xl0 -E des-cbc:PASSWORD
Az openswanon kívül a strongswan doksijában is találhatsz néhány hasznos infót.

Linuxscripting

nem jó. ha beállított kulcsról beszélek, azt nem ismerem (nem ismertem). én ezt a kulcsot törölni tudom, és helyette létrehozni újat (amit meg is tettem).
szóval 4 eszközről van szó, egyet rezeteltem, a másik háromnak nem tudom a kulcsát.
szóval akkor lehet-e reprodukálni egy ipsec fogadó felet (átjárót), ha van kliens eszközünk, ami valamilyen formában így akar kapcsolatot teremteni az átjáróval?
séma

--
Aspire_3690 & bP_10.1.1
"amióta esténként kikapcsolom a mobilomat, utolérhetetlen vagyok az ágyban." - ismeretlen szerző

Ha megvan a PSK, akkor felteszel egy random linux-ot openswan-el. Csinálsz egy minimum konfigot amiben megadod az az eszköz címét és a PSK-t, a subneteket az egyszerűség kedvéért az peerek címére állítod először (garantáltam nem fog működni,de így érdemes kezdeni),az összes titkosítást és hash-t engedélyezed, bekapcsolod a debug-ot és nézed a logot.

Kb így:

conn test
left=linuxipje
leftsubnet=linuxipje/32
right=eszközipje
rightsubnet=eszközipje/32
auto=add

Hasonlókat fogsz látni a logban (többek között)

the peer proposed: 4.4.4.4/32:0/0 -> 4.4.4.1/32:0/0
"testipsec" #4: cannot respond to IPsec SA request because no connection is known for 4.4.4.4<4.4.4.4>[+S=C]...4.4.4.1<4.4.4.1>[+S=C]

Addig tekered a subneteket és a többi konfigot , amíg meglátod a szent
STATE_QUICK_I2: sent QI2, IPsec SA established üzenetet.

Doksi nélkül amúgy nehéz. Még mindig nem derült ki több dolog:
1. Ikev1 vagy Ikev2?
2. Encryption,hash,dh group,pfs,xauth,modecfg ??
3. Transport vagy tunnel mód?

Ezeket mint fentebb írtam az "ike-scan" -el próbálgatva ki lehet deríteni, de az openswan logja is fog tartalmazni egy csomó infót, ami alapján finomítani lehet a beállításokat.

És még mindig benne van a pakliban, hogy egy proprietary üzemmódot használ az eszköz.