Работа в Стамбуле

Метка: BGP MiTM

Как я работал в дата центре «Ростелеком» в Адлере

Российский телекоммуникационный оператор «Ростелеком» был назначен генеральным партнером XXII Олимпийских зимних игр 2014 года в Сочи в категории «Телекоммуникации», а компания Avaya — являлась официальным поставщиком Оргкомитета «Сочи 2014» в категории «Телекоммуникационное оборудование».

В сентябре 2012 года «Ростелеком» объявил об открытии на улице Ленина, 2 в Адлерском районе Сочи специализированной площадки, которая в дальнейшем использовалась для формирования и обслуживания всех информационных и телекоммуникационных систем XXII Олимпийских зимних игр 2014 года. Центр обработки данных разместили в здании бывшего районного узла связи. Все работы рекордными темпами были проведены за 10 месяцев.

Это самый крупный объект IT-инфраструктуры Олимпийских игр в Адлере и Сочи. Его общая площадь превышает 2000 кв. метров. В нем разместился целый ряд специализированных служб: центр обработки данных, основной центр телекоммуникаций, центр управления технологиями (TOC), центр управления сетью (NOC), служба технической поддержки (Service Desk, центр обработки вызовов), учебный центр и тестовая лаборатория для интеграции и тестирования информационных систем, которые затем отправлялись для развертывания на других площадках Олимпиады 2014.

Отказоустойчивое функционирование ключевых информационных систем оргкомитета в Москве и Сочи обеспечивал также московский Центр Обработки Данных «Ростелекома», и каждый олимпийский объект был подключен к резервируемой сети достаточной емкости.
Адлерский Центр Обработки Данных — одна из важнейших площадок, которая обслуживала телекоммуникационные и вычислительные потребности Олимпиады 2014 года. После завершения Олимпийских игр её планировали использовать для муниципальных проектов и для нужд учебного центра «Ростелекома».

В настоящее время центр обработки данных расположен в двух помещениях общей площадью 400 кв. метров и включает около сотни стоек для размещения серверов, сетевого и телекоммуникационного оборудования, оснащенный модулями резервного питания комплекс электроснабжения проектной мощностью 2 МВт, систему кондиционирования, пожаротушения и обеспечения безопасности. В системах охлаждения Центра Обработки Данных применяются чиллеры.

Инженерно-техническая инфраструктура объекта включает структурированную кабельную систему Panduit с подсистемами на «витой паре» и волоконно-оптическом кабеле.

Серверные стойки с закупленными ранее «Ростелекомом» серверами HP. В наиболее высоконагруженных стойках используется водяное охлаждение.

В Адлерском Центре Обработки Данных развернуты маршрутизирующие коммутаторы Avaya Virtual Services Platform (VSP) 9000 (внизу). Это решение нового поколения для критически важных центров обработки данных и базовых сетей комплексов зданий, ориентированное на удовлетворение потребностей крупных предприятий и операторов.

Отказоустойчивые коммутаторы VSP 9000 с производительностью 27 Тбит/с (в кластерной конфигурации – более 100 Тбит/с), содержащие в одном шасси до 240 10-гигабитных портов, обслуживают ядро локальной олимпийской сети. VSP 9000 позволяет выстраивать динамические Центр Обработки Данных с гибкой инфраструктурой виртуальных сетей, обеспечивает бесперебойный доступ к приложениям и услугам, упрощает работу сети и способствует сокращению затрат на развертывание новых услуг.

Оборудование Avaya Aura обеспечивает работу приложений Avaya Communication Manager, системы Session Manager, Программное Обеспечение управления инфраструктурой System Mаnager. В состав комплекса унифицированных коммуникаций входят также медиaшлюзы Avaya G450, IP-телефоны, клиенты Flare Experience, пакет Contact Center Elite. Шлюз Avaya G450 — защищенная платформа для приложений IP-телефонии на базе Avaya Communication Manager. Как и другие медиа шлюзы Avaya, шлюз G450 может распространить функциональность и приложения Communication Manager на удаленные площадки. Шасси имеет восемь разъемов для медиа-модулей с интерфейсами подключения к T1/E1, ISDN-BRI, ГВС, линиям цифровой и аналоговой телефонии и аналоговым транкам.

В помещениях Центра Обработки Данных установлена система газового пожаротушения. По всему периметру помещения зала проложены трубы для подачи газа, соединенные с газовыми баллонами. В данной системе используется инертный газ, который не токсичен, безопасен для человека и не дорог при перезарядке баллонов.

Аккумуляторные батареи — важное звено системы электропитания Центра Обработки Данных. Стандарт TIA-942 рекомендует применение в центрах обработки данных герметичных необслуживаемых аккумуляторов, изготовленных по технологии VLRA (свинцово-кислотных герметизированных батарей с регулирующими клапанами).

Источник Бесперебойного Питания компании Emerson Network Power общей мощностью 1,6 МВт сможет обеспечить работу всего Центра Обработки Данных в течение 30 минут. Этого времени достаточно для поддержания работы центра обработки данных при непродолжительных перебоях в электроснабжении и запуска дизель-генераторов. Кроме оборудования ИТ ИБП питают также циркуляционные насосы, обеспечивающие работу системы охлаждения и кондиционирования за счет накопительного бака с водой.

Центр управления технологиями, расположившийся над помещениями Центра Обработки Данных, во время проведения Олимпийских игр работал круглосуточно, обеспечивая разрешение всех инцидентов в сети и оперативное устранение неисправностей.

25.09.2018
Cracking BGP MD5 Secrets

Loki’s tcp-md5 module is used for cracking a secret used for RFC2385 based packet signing and authentication. It is designed for offline cracking, means to work on a sniffed, correct signed packet.

This packet can either be directly sniffed of the wire or be provided in a pcap file. The cracking can be done in two modes first with a dictionary attack, in this case an additional wordlist is needed, or second without a dictionary in real brute force mode.

If the real brute force mode is chosen the tool can enumerate either alphanumeric characters, or the whole printable ASCII space.

10.06.2018
Ошибка инженера электросвязи Google привела к массовому угону IP трафика через BGP и отключению части интернета в Японии

В прошлую пятницу, 25 августа 2017 года, интернет в Японии работал со значительными перебоями с 12:22 до 13:01 по местному времени. Виной тому стала ошибка сотрудников Google.

Проблема заключалась в проколе динамический маршрутизации BGP и ошибке в его использовании. На текущий момент BGP является основным протоколом динамической маршрутизации в интернете. Он предназначен для обмена информацией о достижимости подсетей между так называемыми автономными системами (АС, англ. AS — autonomous system), то есть группами маршрутизаторов под единым техническим и административным управлением.

В пятницу специалисты Google (компании даже принадлежит собственный AS номер) допустили ошибку, неверно анонсировав блоки IP-адресов, принадлежащих японским провайдерам. В результате другие провайдеры, включая таких гигантов как Verizon, стали направлять трафик, предназначенный для Японии, на серверы Google, которые к этому не готовы.

В результате в Японии оказались практически недоступны многие сервисы, включая правительственные и банковские порталы, системы бронирований и так далее. Более того, пользователи извне не могли подключиться к сервисам Nintendo, а также ряду торговых площадок, расположенных внутри страны.

Хотя проблему устранили в течение часа, случившееся успело посеять панику среди японских пользователей. Местные СМИ сообщают, что расследованием инцидента уже занимается Министерство внутренних дел и коммуникаций Японии.

По данным ресурса BGPMon (компания принадлежит OpenDNS и Cisco), специалисты Google напортачили с трафиком крупного провайдера NTT Communications Corp., который также поддерживает двух провайдеров поменьше, OCN и KDDI Corp. Суммарно NTT предоставляет услуги 7,67 млн частных лиц и 480 000 компаниями.

Согласно анализу специалистов BGPMon, в общей сложности сбой затронул 135 000 сетевых префиксов по всему миру, и более 24 000 из них принадлежали NTT, который пострадал от сбоя больше других. Представители Google и Verizon уже принесли официальные извинения, однако они так и не пояснили, был данный инцидент результатом сбоя оборудования или виной всему был пресловутый человеческий фактор.

19.05.2018
Нарушитель угнал IP трафик провайдеров через BGP для получения BitCoin

Среди всех сделок с биткоинами в последнее время одна выделяется особо: угнать интернет-трафик почти двух десятков интернет-компаний специально для того, заполучить несколько сотен свежемайненых биткоинов? Это действительно нечто из ряда вон выходящее.

Специалисты по информационной безопасности из компании Dell SecureWorks выявили ряд инцидентов, в которых нарушители перенаправили часть трафика как минимум 19 интернет-провайдеров, в том числе облачных провайдеров Amazon, Ростелеком, Мегафон, Вымпелком, Укртелеком, DigitalOcean и OVH, чтобы получить криптовалюту.

Каждый раз форвардинг трафика продолжался не более 30 секунд, нарушители осуществили 22 вброса маршрута с помощью пакета LOKI, каждый раз получая во временное управление вычислительные мощности майнинговых пулов. В частности, компьютеры из майнинг-пула перенаправлялись на другой командный сервер, который переводил сгенерированную криптовалюту на свой счёт.

Нарушители специализировались на атаках именно против майнинг-пулов. В один из дней нарушителям удалось получить биткоинов и других видов криптовалюты, включая Dogecoin и Worldcoin, на сумму $9.000. Всего же за всё время деятельности они заработали около $83. 000.

По мнению специалистов Dell SecureWorks, нарушитель применил атаку на BGP-маршрутизаторы — BGP hijacking, используя уязвимости в протоколе BGP (Border Gateway Protocol), который применяется для маршрутизации трафика между большими сегментами интернета. Для публикации ложных инструкций в таблицы маршрутизации BGP они также использовали взломанный аккаунт сотрудника одного из канадских интернет-провайдеров (возможно, сотрудник и сам причастен к этой сделке).

Атаки осуществлялись с февраля по май 2014 года. Специалисты Dell SecureWorks не называют, какой конкретно интернет-провайдер оказался вовлечён в эту операцию.

Техника атаки на BGP-маршрутизаторы известна давно. Например, в 2013 году другой нарушитель использовал этот метод для перенаправления части американского интернет-трафика в Исландию и Беларусь также для получения криптовалюты BitCoin в огромных количествах.

30.01.2018
Как проверить, что полезная нагрузка может подключиться к машине с Metasploit, расположенной за NAT

Если вы проводите тестирование на проникновение и работаете в сети, где раздается NAT, например из дома через маршрутизатор беспроводной сети, то вам необходимо настроить проброс портов на своем маршрутизаторе, чтобы полезная нагрузка могла подключиться к машине с Metasploit.

Лучшим вариантом было подключиться к Интернету напрямую с белым IP адресом, но это слишком затратно. Настройка переадресации портов не так уж и сложна, но проверить её работоспособность может быть немного сложнее. Жалко только что данный подход нельзя использовать при работе через 3G модем, потому как ему изначально присваивается серый IP адрес и конечно же доступа к маршрутизатору провайдера для настройки проброса портов у вас нет.

В нашем случае виртуальная машина с установленным Metasploit Pro имеет IP-адрес 192.168.1.169. Выберем порт 4444 в качестве рабочего порта для нашей полезной нагрузки, чтобы избежать путаницы. Я буду показывать пример на маршрутизаторе Asus, ваш маршрутизатор конечно же может иметь другую Web-морду.

Мой маршрутизатор не поддерживает диапазон для проброса трафика на локальный порт, в противном случае я мог бы указать диапазон 1024-65535 и для внешнего диапазона портов и внутренних локальных портов. Это дало бы полезной нагрузке большее количество портов для возможности обратного подключения, что увеличивает возможное количество сплоитов, которые одновременно вы могли бы запустить на удаленной машине. Не стесняйтесь экспериментировать с этим, если ваш маршрутизатор поддерживает это — это сделает ваш тест на проникновение быстрее и даст вам больше шансов на успех, но мы сработаем через один единственный порт, который я уже назначил.

Теперь давайте проверим, как работает наш проброс портов на маршрутизаторе, который мы настроили. Для этого во вкладке Модули найдем модуль «Generic Payload Handler»:

Запускаем этот модуль. Теперь нам нужно узнать наш публичный адрес IP. Это можно либо посмотреть в настройках маршрутизатора, или перейдите на internet.yandex.ru
Вводим этот адрес в поле Listener Host, оставляем список портов слушателя по умолчанию 4444-4444. Вы должны использовать диапазон, а не значение, в противном случае модуль не будет работать. Запускаем модуль. Теперь у нас есть активный слушатель, работающий на Metasploit машине, и порт 4444, который проброшен на эту же машину.

Теперь проверим, работает проброс портов или нет. На сайте www.canyouseeme.org введем порт 4444 в поле и нажмем Can You See Me кнопку. Если все сделали правильно, то вы увидите сообщение что-то вроде этого:

Если вы получаете сообщение, что порт не доступен, это может быть потому, что порты могут быть заблокированы провайдером в некоторых случаях.

Перед тем, как начать с тест на проникновение, вы должны остановить Generic Payload Handler задачу. Теперь при выборе сплоита вы должны указывать Listener Port 4444.

24.02.2017