R ozdział 33. ¨ Sekrety zespołu Tiger Team 225
W trakcie kolejnej fazy procedury zapewniania bezpieczeństwa skoncentrujemy się na typowych celach ataków, badając sposoby zabezpieczenia urządzeń sieciowych i demonów usług przed włamaniami wymienionymi w pierwszym tomie tej książki, Hack wars. Na tropie hakerów. W tym rozdziale omówione zostaną bramy i routery, demony serwerów internetowych, systemy operacyjne a także firewalle i proxy.
Ten rozdział omawia procedury zabezpieczania i zdradza sekrety zespołu Tiger Team, którymi możesz posłużyć jako środkami ochronnymi przed konkretnymi sposobami włamań do typowych bram i routerów, serwerów internetowych, systemów operacyjnych oraz proxy i firewalli. Zanim jednak przejdziemy do konkretnych rozwiązań, przyjrzyjmy się funkcjom i zastosowaniom poszczególnych celów włamania.
t Bramy i routery. Brama (gateway) to punkt sieciowy, który działa jako przejście między wieloma sieciami; około 90 procent obecnie używanych bram służy głównie jako routery dostępowe i dlatego są one popularnym celem ataków.
t Demony serwerów internetowych. Demon serwera WWW (HTTPD) to program, który nasłuchuje (standardowo przez port TCP 80) i akceptuje żądania dostępu do informacji, które są przesyłane protokołem HTTP. W efekcie takiego działania przeglądarka internetowa otrzymuje strony w formacie HTML.
t Systemy operacyjne. System operacyjny to oprogramowanie wymagane przez system komputerowy do działania. Komputer wykorzystuje system operacyjny do zarządzania wszystkimi zainstalowanymi i przyłączonymi programami oraz urządzeniami. Z tego powodu jest to najważniejsze oprogramowanie działające na komputerze.
t Proxy i firewalle. Proxy to program komputerowy, który działa jako pośrednik pomiędzy przeglądarką internetową użytkownika a zasobami w Internecie. Po zainstalowaniu takiego oprogramowania na serwerze, proxy może być uważane za „bramę” oddzielającą wewnętrzną sieć użytkownika od sieci zewnętrznej. Proxy przede wszystkim kontroluje warstwę aplikacji, a jako typ firewalla filtruje wszystkie przychodzące pakiety i zabezpiecza sieć przed nieautoryzowanym dostępem. W podobny sposób oprogramowanie firewalla kontroluje dojścia do sieci za pomocą zadanych zasad zabezpieczeń przez odpowiednie filtry kontroli, które mogą zablokować lub umożliwić dostęp do danych w sieci wewnętrznej.
Opisane tutaj środki ochronne mogą być używane jako zabezpieczenie przed niektórymi popularnymi typami włamań. Oczywiście, istnieją jednak tysiące innych odmian ataków; dlatego też należy regularnie kontaktować się z producentami urządzeń i programów w celu uzyskania nowych poprawek i aktualizacji. Większość witryn internetowych producentów zawiera strony, które służą tylko do tego celu, na przykład http://stage.caldera.com/support/security/ to strona z aktualizacjami zabezpieczającymi firmy Caldera (patrz rysunek 3.1).
Rysunek 3.1.
Większość witryn internetowych producentów zawiera sekcje poświęcone zabezpieczeniom
Ten rozdział rozpoczniemy od przedstawienia procedur zespołu Tiger Team dla bram, które działają głównie jako routery dostępowe, co, jak wcześniej wspomnieliśmy, obejmuje ponad 90 procent bram będących obecnie w użyciu. Przyjrzymy się dokładniej produktom następujących firm: 3Com, Ascend, Cabletron, Cisco, Intel i Nortel/Bay.
Jak omówiono to w pierwszym tomie tej książki, typowe próby włamania do produktów firmy 3Com (www.3com.com) obejmują atak DoS (odmowa usługi) na kartę HiPer ARC, logowanie do karty HiPer ARC, filtrowanie, hasła głównego klucza, atak DoS na NetServer 8/16 oraz atak DoS na Palm Pilot Pro. Więcej informacji na temat środków zaradczych znaleźć można w nowej, inteligentnej bazie danych Knowledgebase firmy 3Com pod adresem http://knowledgebase.3com.com (patrz rysunek 3.2).
Rysunek 3.2.
Baza danych firmy 3Com z informacjami technicznymi
Opis: Karta 3Com HiPer ARC jest wrażliwa na ataki DoS typu Nestea i 1234.
Skutek ataku: Zawieszenie systemu.
Słabe strony: Karta HiPer ARC z systemem w wersji 4.1.11/x.
Środek zaradczy: Jeśli Twoje urządzenia 3Com są wrażliwe na ten atak, odwiedź witrynę producenta w poszukiwaniu poprawek i aktualizacji. 3Com naprawił błąd w podstawowym kodzie karty Total Control NetServer. Środkiem zaradczym na ataki DoS, mające na celu złamanie usługi telnet, jest ograniczenie dostępności tej usługi tylko dla listy zaufanych hostów. Prostym rozwiązaniem może być również aktualizacja do wersji 4.1.27-3 lub 4.2.32-1.
Opis: Karta HiPer ARC powoduje powstanie potencjalnego zagrożenia w powiązaniu z domyślnym kontem adm.
Skutek ataku: Nieautoryzowany dostęp.
Potencjalne ofiary: Wersje karty HiPer ARC o numerach 4.1.x.
Środek zaradczy: Aby zatrzymać logowanie adm, musisz wyłączyć to konto. Uwaga: nie próbuj usunąć tego konta logowania w celu wyeliminowania słabego punktu.
Opis: Filtrowanie nie jest skuteczne w przypadku połączeń przez linie telefoniczne. Użytkownik może się połączyć, otrzymać znak zachęty hosta, a następnie wprowadzić dowolną nazwę bez uruchomienia procedur uwierzytelniających. W efekcie system zapisuje w dzienniku informację, iż połączenie zostało odrzucone.
Potencjalne ofiary: Systemy z kartą Total Control NETServer v.34/ISDN z Frame Relay v.3.7.24 AIX 3.2.
Środek zaradczy: Chociaż eksperci nie traktują tego zagrożenia poważnie, aktualizacja rozwiązuje ten problem całkowicie.
Opis: Niektóre przełączniki 3Com otwierają furtkę dla hakerów przez domyślne hasła administratora, które zostały rozpowszechnione w Internecie.
Skutek ataku: Nieautoryzowany dostęp do konfiguracji.
Potencjalne ofiary: Zagrożone są przełączniki CoreBuilder 2500, 3500, 6000 i 7000 oraz SuperStack II 2200, 2700, 3500 i 9300.
Środek zaradczy: Hasła mogą być zmodyfikowane po zalogowaniu jako debug i wprowadzeniu polecenia system password debug. Zostaniesz poproszony o podanie i potwierdzenie nowego hasła. Pamiętaj o odwiedzeniu bazy danych Knowledgebase, gdzie znajdziesz najnowsze ulepszenia zabezpieczające przed tym zagrożeniem.
Opis: NetServer 8/16 jest wrażliwy na atak DoS typu Nestea.
Potencjalne ofiary: NetServer 8/16, system operacyjny w wersji 2.0.14.
Środek zaradczy: Aktualizacja systemu rozwiąże ten problem i zapobiegnie efektom działania wszystkich jego odmian.
Opis: Palm Pilot jest wrażliwy na atak DoS typu Nestea.
Potencjalne ofiary: Palm Pilot Pro, system operacyjny w wersji 2.0.x.
Środek zaradczy: Skontaktuj się z działem obsługi Palma w celu otrzymania poprawki programowej lub aktualizacji systemu operacyjnego.
Ta część opisuje środki zabezpieczające przed typowymi atakami na urządzenia firmy Ascend/Lucent (www.lucent.com), włączając w to atak uszkodzonymi pakietami UDP, przeciążenie potoku haseł oraz atak MAX.
Opis: Błąd w sieciowym systemie operacyjnym routera umożliwia zawieszenie urządzenia przez odpowiednio zmodyfikowane pakiety UDP.
Potencjalne ofiary: Urządzenia Ascend Pipeline i MAX.
Środek zaradczy: Najszybszym rozwiązaniem tego problemu jest odfiltrowanie pakietu do portu „Discard” UDP (9). Ponieważ dostęp SNMP, pozwalający na zapis na routerze Ascend, jest równoważny pełnemu dostępowi administratora, należy upewnić się, czy nie można odgadnąć nazw społeczności SNMP. Użyj do tego opisanego w rozdziale 2. narzędzia TigerCrypt, które pomoże w nazywaniu użytkowników. Konfiguracja SNMP w routerze Ascend jest dostępna z systemu menu.
Opis: Wywoływanie zdalnych sesji telnetu może spowodować przekroczenie limitu sesji routera Ascend i wtedy system będzie odmawiał wykonania dalszych prób. Napastnik może również zdalnie zrestartować urządzenia Ascend MAX przez połączenie przez Telnet z portem 150 podczas wysłanie pakietów o niezerowej długości offsetu TCP.
Skutek ataku: Znaczne przeciążenie lub restart systemu.
Potencjalne ofiary: Urządzenia Ascend Pipeline i MAX 5x.
Środek zaradczy: Rozwiązaniem tego problemu może być implementacja funkcji uwierzytelniania zdalnych sesji Telnetu. Jak wcześniej stwierdziliśmy w tej książce, tylko lokalne, autoryzowane segmenty powinny otrzymywać prawo do utworzenia sesji.
Opisane w tej części środki zaradcze odnoszą się do typowych włamań do urządzeń firmy Cabletron (obecnie Enterasys — www.enterasys.com), włączając w to blokowanie procesora oraz atak DoS typu ARP.
Opis: Seria routerów SmartSwitch Router (SSR) jest wrażliwa na przeciążenie procesora.
Skutek ataku: Problemy z obróbką danych wskutek przeciążenia.
Potencjalne ofiary: Seria routerów SmartSwitch Router (SSR).
Środek zaradczy: Do tego momentu nie ogłoszono sposobu rozwiązania tego problemu.
Opis: Istnieje możliwość zaatakowania routerów serii SmartSwitch Router (SSR).
Potencjalne ofiary: Router SSR 8000 z oprogramowaniem sprzętowym w wersji 2.x.
Środek zaradczy: Skontaktuj się z producentem urządzenia w celu aktualizacji oprogramowania routera do wersji 3.x.
Przedstawione w tej części środki obronne odnoszą się do ataków przeciwko urządzeniom Cisco (www.cisco.com), włączając w to różnego rodzaju ogólne ataki DoS, atak HTTP DoS, słabe punkty w przypadku wykorzystania narzędzia do łamania haseł IOS, atak NAT oraz atak skanowania UDP. Sprawdź bazę danych Cisco UniverCD w celu odnalezienia dokumentacji dla całej linii produktów. Bazę znajdziesz pod adresem www.cisco.com/univercd/home/home.htm (patrz rysunek 3.3).
Opis: Urządzenia dostępowe Cisco cechują się wrażliwością na ataki DoS.
Skutek ataku:...
ontek25