Omijanie NAC

Na zakończenie odrobina pikanterii. Od lat stosowane są rozmaite techniki, które mogą wprowadzać rozwiązania NAC w błąd. Podstawiane są np. fałszywe serwery DHCP (niektóre systemy NAC wykorzystują DHCP przyznając urządzeniu najpierw adres z puli kwarantanny, a dopiero po przeskanowaniu przydzielają właściwy adres IP). W 2006 roku na Black Hat badacz Ofir Arkin przedstawił bardzo ciekawą prezentację przedstawiającą różne techniki omijania NAC-ów. Każda z tych technik wymagała jednak sporej wiedzy technicznej z różnych obszarów. Teraz wystarczy mieć niespełna 1000 dolarów i niekoniecznie magistra z informatyki, żeby podjąć często skuteczne próby omijania NAC-a. Na rynku pojawiła się cała gama urządzeń firmy Pwnie Express, z których jedno Pwn Plug Elite może się okazać szczególnie przydatne. Z wyglądu to zwyczajny zasilacz. W środku jednak znajdziemy minikomputer z procesorem ARM 1.2 MHz, pamięcią RAM 512MB oraz nośnikiem NAND 512 MB i 16-gigabajtową pamięcią SD. „Zasilacz” wyposażony jest również w modem 4G, interfejs Bluetooth, Wi-Fi i Gigabit Ethernet, a to wszystko jest kontrolowane przez Debiana z całą masą narzędzi pentesterskich. Nie może zabraknąć więc takich klasyków jak Metasploit, Fast-Track, Kismet, Hydra, Scapy itp.

Jak zatem możemy ominąć NAC za pomocą tego narzędzia? W pierwszej kolejności musimy skonfigurować reverse shell. Potem wydajemy jedną komendę aktywującą tryb omijania NAC. Po restarcie urządzenie jest odpowiednio skonfigurowane i gotowe do działania. Kolejne kroki, czyli wpięcie urządzenia do sieci, wymagają już nieco uwagi – można niechcący aktywować „port security” na przełączniku i zamknąć port. Urządzenie podłączamy do gniazdka elektrycznego i wpinamy sieciowo pomiędzy klienta 802.1x (np. komputer) a przełącznik. Pwn Plug aktywuje na interfejsach sieciowych odpowiedni moduł rozumiejący L2 i zapina transparentnego bridge’a pomiędzy stacją kliencką i przełącznikiem. Przekazuje w ten sposób bez modyfikacji pakiety uwierzytelniające (EAPOL). Po uwierzytelnieniu klienta Pwn Plug czeka na pierwszy pakiet wychodzący z klienta na port TCP 80. Dzięki niemu otrzymuje informację o adresie IP oraz MAC klienta, a także o bramie domyślnej. Dodatkowo, żeby oszukać „port security” na przełączniku nawiązuje połączenie reverse SSH (skonfigurowane na początku) posługując się adresem MAC i IP uwierzytelnionego klienta. Od tego momentu droga do firmowej sieci zostaje otwarta. Po nawiązaniu połączenia z konsolą „zasilacza” otrzymujemy dostęp do zasobów osiągalnych przez klienta, którego komunikację bridge’ujemy. Producent rzecz jasna zastrzega, że Pwn Plug może nie poradzić sobie ze wszystkimi NAC-ami, ale rzeczywistość pokazuje, że jest skuteczny nad wyraz często.