用户
搜索
  • TA的每日心情

    2019-10-23 09:04
  • 签到天数: 135 天

    连续签到: 1 天

    [LV.7]常住居民III

    i春秋作家

    北极边界安全团队负责人

    Rank: 7Rank: 7Rank: 7

    59

    主题

    225

    帖子

    457

    魔法币
    收听
    0
    粉丝
    3
    注册时间
    2016-9-7

    春秋文阁春秋游侠突出贡献积极活跃奖

    天析 i春秋作家 北极边界安全团队负责人 春秋文阁 春秋游侠 突出贡献 积极活跃奖 楼主
    发表于 2019-10-22 23:10:26 65149
    本帖最后由 天析 于 2019-10-22 15:21 编辑

    作者:天析 (QQ2200475850)
    团队:NPSC网络空间实验室(北极边界安全团队)
    *原创版权说明:本文首发于i春秋,仅作为作者本人对于该套物联网实训设备组装,调试的理解,部分资料查阅于网络后并加以描述,如有其它问题可以联系作者QQ进行沟通修改!


    0x1:导语

      由于在学校技能竞赛周中,因为某老板的好奇,于是我花了2天半的时间学习了一下相关的知识将其临时存储在大脑中陪某老板一同参加“物联网技术及应用”竞赛,一不小心拿到了跟物联网创新班的学长们一起学习这套设备的机会!(ps: 因为参与的19级新生就仅仅只有我和某老板,于是乎~


    0x2:设备认识

      学习之前,首先,得认清楚所有用到的设备,每一个设备的原理,但是这个东西我将会将它放到拓扑图层次分析完之后去,因为关于涉及到的设备的一些知识可能直接描述会变得不怎么容易理解,所以我将会从拓扑图开始由一个大的层次一层一层的去描述下去!(ps:某位大佬说过只要内容到位,顺序并不影响阅读~


    0x3:关于我对物联网的认识

      我对于物联网的看法,可能仅仅是片面的了解,在我看来,物联网终将成为类似于“因特网”的名词,这就好比于“车联网”已经从物联网这个大概念中脱离出去,物联网虽说是一个大的范围,万物互联,在我看来,不仅仅只是万物互联!而对于安全行业的我们来说,其实这将会是我们一个更大的机会,其实我们对物联网并不远,大家用过的水卡,饭卡之类的,其实都是物联网技术的成果。


    0x4:拓扑图分析

      完整的拓扑图如下方所示(可能略不清晰,如需完整清晰的拓扑图可以联系我):

    1.png

    对于刚踏入物联网的门槛决心要去搞物联网安全的我,对着这张拓扑图组装完所有设备后将会使我产生极大的成就感!(膨胀一下~
    最开始搭建的时候,我表示听着学长们的描述,变得很难理解,特别高档,连接完线我还要一个一个去用万用表测是否接错线了,同时我也遇到过并联太多的设备导致本该是24伏的电压被拉低的只有3伏,当时怎么去测线路和查看配置都没问题,所以拥有电路分析等方面的基础是多重要。
    首先咱们对整张拓扑进行分析,发现,这张图可以分为两个网络部分,分别是“服务器端网络”和“客户机端网络”两个部分。

    2.png

    所有设备纵观全局,其实最后都接到了这个无线路由器,1 是跟所有工控设备 (即用到的各种传感器之类的硬件) 链接到一起的,属于工控物联网网络,而2 则是属于正常用户的一个网络,通过交换机链接下级设备(客户机)和上级设备(路由器)。
    所以一旦这台无线路由器罢工,全家瘫痪~

    对于这部分的设备,颜色并不区分线的类型(其它的一般是红正黑负,剩下的是信号线),因为这部分的线基本上都是Rj-45 类型的网线。
    接下来我们来挨个看无线路由器上的每个设备链接的硬件,并对它的作用进行分析,首先是路由 LAN 口的1口,它连接的设备是摄像头。

    3.png

    摄像头和1口是使用网线进行连接的,由连接的适配器插入220V 进行供电。
    接着看2口,2口是和服务器接在一起的,再由服务器通过专用的连接线连接到桌面的一些设备,因为服务器在直接链接了无线路由器,所以我们将要进行路由器方面的配置将会在服务器上去访问无线路由器的管理Web,进行配置路由。

    4.png

    再来看第三个口,接到了串口服务器,我们在去顺着串口服务器去寻找串口服务器连接到的设备,再去分析串口服务器干了些啥。

    5.png

    通过下图,我们基本可知,串口服务器链接的设备有LED显示屏、UHF射频读写器(高频)Zigbee协调器(近距离无线网络)ADAM-4150(数模量接收/控制)。相当于由这一部分可以简单分析出整个控制的流程是这样的,先通过配置好的服务器端发出指令给处于同一局域网(无线路由器lan口)环境下的串口服务器,经过串口服务器再去发出指令控制下级的设备进行工作,比如所有有线设备的运行实际上经由ADAM-4150模块接收串口服务器的信息后去通过信号线控制继电器去断开或闭合使设备工作,而无线组网部分,则是采用了ZigBee协议(即zigbee协调器)去链接其他的无线设备,值得注意的是,zigbee协议和摄像头采用的无线协议(WiFi)是两个概念,虽然两者都是通信协议,两者的概念将在后文进行区分。

    6.png

    下面接着我们来看无线路由器的最后两个口,因为这两个口所需要处理的事情不多,于是我将两者一起来叙述,由下图可以看出,4口连接的是一个交换机,交换机下面链接的是客户机范围,从这里,我们可以简单的把无线路由器看作是个大环境,在这个大环境之下,可以分为两个小环境,即工控设备区域(无线路由器13口)和客户区域(无线路由器4口),在这里我将2口独立出来,却不把它当作一个单独的区域,是因为,设备区域需要服务器进行控制,用户区域需要服务器提供服务,所以,这两部分都包含了服务器,服务器则在这个环境中扮演了一个重要的角色,两者谁缺了服务器都不行。

    7.png

    接着我们在来去说无线路由器的WAN口,这个口是链接的上一级的网络,因为我们所有的设备都在无线路由器所分配的一个局域网环境内,简称内网,于是这个与上一级通信的WAN 口则是连接的外网(这里不能理解成公网,因为说不定,这个这个网络的上层,也是一个局域网)。


    设备:无线路由器

    8.png


    这套设备中提供的路由器是TP-LinkTL-WDR6320路由器(该型号在漏洞平台暂无相关漏洞,所以只要密码设置的好,能杜绝大部分威胁),对于路由器的配置,可以通过两个方法进到路由器的配置Web页面,第一种就是直接插上网线,连接路由器后在电脑上的浏览器地址栏输入“tplogin.cn”进入配置页面,第二种就是加入你电脑是笔记本,可以通过连接这个无线路由器发出的WiFi,连接后同样重复上面的动作,在浏览器地址栏输入“tplogin.cn”,当然输入“192.168.0.1192.168.1.1”也同样能进去,但是为了避免IP分配的一些细节,最好是输入“tplogin.cn”,会好一点。对于路由器,你可以将其看作一个网关,因为路由器本身就是工作在网络层的设备,用于沟通两个不同的网络,局域网下的一切通信想到到达另外的一个网络,就必须需要路由器这个设备去进行和另一个网络去沟通,反之亦然,别的网络想要访问你路由器之下的设备,就必须去沟通,所以这将会是整个模拟的工控环境中的重中之重,一旦路由器罢工,所有一切都凉凉,所以在后期的针对工控安全的测试中,路由器将会是一个很好的入手点!

    设备:网络摄像头(支持无线和有线)

    9.png

    在这套设备中提供的网络摄像头是支持有线和无线两种方式的,对于摄像头的配置,其实是需要在路由器配置完毕后,将摄像头通过网线连接到路由器后,在通过一台连接了路由器的电脑去扫描摄像头的IP地址,获取到摄像头的IP地址后,可以通过配置软件去更改摄像头的IP地址,值得注意的是这里全部采用静态IP,因为这将会使工控环境下的设备变得易于管理。


    设备:串口服务器

    10.png

    串口服务器实际上,是提供的一个将串口通信转换成网络通信的一个功能,使串口设备能使用网络来进行管理,新大陆提供的是中金通讯的串口服务器,具有Web管理端,在进行工控环境的渗透测试时,当你已经进入工控内网环境,可以尝试通过扫描特定端口进入串口服务器,修改配置,当然我不建议进行这么做(因为这将会可能会对企业带来不可想象的灾难)!现如今很多政企单位都是这样的一个场景:外网有着强大的云Waf 守护着你的安全,但是一旦进入内网,所有的一切都毫无保留的暴露在了入侵者的眼里。


    设备:ADAM-4150

    11.png

    ADAM-4150是一个数字量采集控制模块,在上图左侧我们能看出,他是连接了众多的“信号线”,在这个拓扑图中,它其实就是负责将从客户端接收到的指令下达给继电器,由继电器控制风扇或灯启动或暂停,当然同时它也在接收到火焰传感器,人体感应传感器,烟雾传感器等传感器反馈的数据后在讲这些数据发送到服务器,由服务器进行发出下一级的指令,由此我们可以看到这个设备的重要性,他控制着几乎整个拓扑图中所有有线设备的运行。从左侧我们可以看到,4150有着众多的接线口,但归类后其实可以总结出下面几类接口:


    DI口:数字输入信号(digitalinput
    DO口:数字输出信号(digitaloutput
    +VS口:设备火线(正24伏输入)
    GND口:接地(D.GND数字地,(B)GND设备地)
    D+口:差分数据信号data+
    D-口:差分数据信号data-


    这里值得注意的是data+data-并没有准确的区分谁是传输的,因为这两个口是共同运作的,对于这个口我的理解可能不是那么的正确,因为这是我大概在几个月前看的《详解USB协议》中理解到的。


    对于这个设备的安全性,我所考虑到的是信息泄露(在 geekpwn 挑战赛中,就有这样的例子),这里是因为该设备连接了众多的传感器,一旦该设备被控制,可能会造成一些极其敏感的信息泄露。


    设备:工控平板

    12.png

    对于该平板设备,因为这套设备中这个平板是采用的安卓系统,并且我看了下安卓版本在 5.x   这个范围内,所以我也就淡定的笑了笑,安卓版本小于7(大于等于8system分区多了些恶心人的东西),可操作的空间太大,这个就不多说吧。


    ZigBee协调器

    13.png


    通过ZigBee协调器将各个ZigBee模块组成一个无线传感器网络,当然最后还是是通过串口连接到串口服务器,然后串口服务器在于服务器进行通信。在这套设备中ZigBee协调器实际上负责的是接收温湿度等传感器的数据。


    上图是其他的zigbee模块对于该部分的安全测试,因为ZigBee是目前IoT设备中最常见的通信协议之一,所以使用zigbee进行通信的设备非常多,因为是无线协议,所以攻击者可以通过进行嗅探通信传输中的敏感信息,同时夺取关键基础设施的控制权(这将会造成一些很严重的影响,威胁到整个服务的运行)。


    Lola网关和Lola模块


    14.png


    Lola是一个远距离低功耗的一个局域网无线传输协议,因为是基于CSS调制技术(Chirp Spread Spectrum)的,所以是比较稳当的,但是由于它依旧是采用无线传输,所以依旧有被通过嗅探的方式获取敏感数据的风险(但是太难了)


    UHF射频读写器

    15.png


    这个设备没得什么说的,超高频RFID技术而已。在实际的生活中,比如我们的水卡,饭卡之类的其实是低频卡,对于这类设备往往是最不安全的,若是联网卡还好,类似于水卡,通过pm3之类的设备都能白嫖好久了,对于这个我是感触最深的,两个男生去接热水,互相看着对方插着一样的似乎是一样的卡,互相看向对方的眼睛,然后都轻轻的微笑了起来。


    0x5:相关协议知识

    在这个装配的过程中,无线通信协议用到了四种,分别是WiFiZigBeeLoraRFID常用的协议。有线基本基于串口通信。

    在这其中,WiFiRFID我觉得没必要去说了,ZigBeelora吧,因为,我踩坑了23333~

    在刚开始,我一直是以为这个两个设备的名字叫做ZigBeelora,原谅我的无知(这导致我花了将近1天的时间学习了这两个玩意)。

    【来自百度百科的概述】ZigBee,也称紫蜂,是一种低速短距离传输的无线网上协议,底层是采用IEEE802.15.4标准规范的媒体访问层与物理层。 主要特色有低速、低耗电、低成本、支持大量网上节点、支持多种网上拓扑、低复杂度、快速、可靠、安全。

    但是实际上,我查阅资料后,发现,其实Zigbee分配地址的两种方式中的Rejoin是需要设备去主动生成一个地址,并在Zigbee网络内注册,这种方式会对入网的Zigbee设备在切换父节点时从父节点获取路由地址,并同步刷新路由表。但是通常Rejoin是加密的,如果不加密的情况下,我们向一个协调器一直发送Rejoin命令并不断改变MAC地址,然后这个协调器的子节点表会全部占满,导致其无法再加入新的设备,同样如果对路由发,结果更危险,会导致正常的节点无法切换到其它路由上。最终会导致整个ZigBee的路由表被消耗完。

    而对于lora这个玩意,我只能说草草带过,它使用了CSS调制技术LoRaWA和两个安全模型(一个网络安全,应用安全)在我查阅多方资料后依旧一知半解,就不去多做叙述了。


    0x6:可用渗透手段防范(偏向比赛)

    因为设备是学校物联网学院的,比较贵(坏了我就凉了),这使得我终止了对该套设备组装好后去进行渗透测试的好奇心,于是这个环节也就不能去细写了(因为没那机会),但从组装的过程中,还是归纳了一些可以进行的手段来防范未来我去参加物联网比赛时遇到混信安的不法分子(遇不到最好)对我做一些不好的事情(必要措施)。

    1. 针对无线路由器

    不论时间是否充足,首先要做的是保证WiFi密码不能是弱口令,接着暂时不去开启无线路由器的ssid广播,这是最重要的一条,为的是防止被对手们拿到了我方WiFi密码,对我方串口服务器君等一切设备做出不好的事情。确认没问题后然后继续搭建,搭建完成后再开启ssid都行,并在时间充裕的情况下回忆下该型号路由器是否存在有安全漏洞(赛前记忆),并尽量修复(或者反手送对手一个buff),若对方使用一些类似于用esp8266制作的洪水攻击模块,请直接参照第四条。


    2. 针对串口服务器
    在18年曾曝出不少串口服务器的漏洞,所以尽量的在自己在比赛时利用空余时间简单判断是否威胁,就好比在我们搭建时,我发现串口服务器是直接可以通过Web访问的,连密码都不需要,可以干啥就不多说了~


    3.针对ZigBee  
    在时间充足的情况下,为ZigBee模块增加一个MAC地址过滤,拦截一些未认证的MAC,防止路由表被撑爆。


    4. 掀桌子(这是坏人干的事情)

    当发现自己已被不法分子搞了事情后,那咱就掀桌子(不到万不得已别这样搞),先瞄准对方WiFi有没有弱口令,删对方数据库,如果没有,那就,掏出ESP8266搞事情,如果我方连esp8266都没有,那就掀主办方赛场的桌子。


    0x7:回顾组装设备过程

    由于这个是一个枯燥的接线和配置过程,就忽略了吧,就发一下我们装好的照片和一些细节图片吧!

    16.png

    17.png

    18.png

    19.png

    20.png

    21.png



    做一个有格调的程序猿 - (๑•̀ㅂ•́)و✧
    发表于 2019-10-23 08:47:36
    帮我掀下桌子谢谢
    使用道具 举报 回复
    天析 i春秋作家 北极边界安全团队负责人 春秋文阁 春秋游侠 突出贡献 积极活跃奖
    板凳
    发表于 2019-10-23 09:03:05
    Emoo 发表于 2019-10-23 00:47
    帮我掀下桌子谢谢

    会没朋友的,咱不能去随便掀桌子的~
    做一个有格调的程序猿 - (๑•̀ㅂ•́)و✧
    使用道具 举报 回复
    天析 i春秋作家 北极边界安全团队负责人 春秋文阁 春秋游侠 突出贡献 积极活跃奖
    地板
    发表于 2019-10-23 09:05:16
    写的太水了,唉~
    做一个有格调的程序猿 - (๑•̀ㅂ•́)و✧
    使用道具 举报 回复
    发表于 2019-10-23 14:33:33
    牛逼牛逼
    使用道具 举报 回复
    发表于 2019-10-23 20:36:48
    使用道具 举报 回复
    设备概念眼
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册