Аналіз HTTP/HTTPS трафіку WebFig у Wireshark

2025-05-06 11:48
67
Ця стаття на мовах: UA / RU

Що таке WebFig?

WebFig — це графічний вебінтерфейс для керування пристроями MikroTik, доступний через браузер за IP-адресою пристрою (наприклад, http://192.168.88.1). Він дозволяє налаштовувати всі параметри роутера, від мережі до брандмауера.

Навіщо аналізувати трафік WebFig?

  • Для виявлення вразливостей або підозрілих дій.

  • Для діагностики проблем із доступом.

  • Для навчання або тестування мережевої безпеки.


1. Захоплення HTTP/HTTPS трафіку

Налаштування Wireshark:

  • Запустіть Wireshark і виберіть інтерфейс, через який йде трафік (зазвичай Ethernet або Wi-Fi).

  • У фільтрі захоплення введіть:

     
    host 192.168.88.1

    або використовуйте фільтр відображення:

     
    http || tls

Що видно в HTTP:

Якщо WebFig використовується через HTTP, весь трафік відкритий. Ви можете бачити:

  • Запити GET/POST

  • Передані логіни і паролі (у відкритому вигляді!)

  • Структуру сторінок

⚠️ Небезпека: WebFig через HTTP — це серйозна вразливість. Дані легко перехопити.


2. HTTPS та розшифрування трафіку

Чому HTTPS не видно одразу?

HTTPS трафік шифрується. Ви побачите лише зашифровані TLS пакети.

Як розшифрувати?

Для локального аналізу можливо використати SSLKEYLOGFILE, якщо у вас є доступ до браузера, з якого йде трафік:

  1. Увімкніть змінну середовища:

     

    SSLKEYLOGFILE=C:\sslkeys.log

     

  2. Запустіть браузер і відкрийте WebFig через HTTPS.

  3. У Wireshark:
    Edit → Preferences → Protocols → TLS → (Pre)-Master-Secret log filename → вкажіть sslkeys.log.

  4. Wireshark покаже розшифровані дані HTTPS, включно з формами авторизації, відповідями сервера тощо.


3. Як захиститися?

  • Використовуйте тільки HTTPS для доступу до WebFig.

  • Встановіть сертифікат або самопідписаний, або від Let's Encrypt.

  • Обмежте доступ до WebFig лише з внутрішньої мережі.

  • Вимикайте WebFig, якщо використовуєте Winbox або CLI.


Висновок

Аналіз трафіку WebFig через Wireshark — потужний спосіб зрозуміти, як працює взаємодія між адміністратором та MikroTik. Але це також наочна демонстрація, наскільки важливо використовувати захищене з'єднання. Не забувайте: HTTP — це відкрита книга, HTTPS — це замок.

 

🔒Безпека — понад усе. Навіть найзручніший інтерфейс не вартий ризику, якщо його трафік читається кожним у мережі.


Сподобалась стаття? Подякуйте автору
Цікавий факт
Мобільні додатки зараз займають більше 80% всіх витрат користувачів на цифрові послуги.

t.me


Стаття у розділах:

Програмне забезпечення Загальна інформація

Статті по темі: