Через протоколы и приложения управления сетью передается большое количество важной и критической информации. Именно поэтому данные решения представляют собой риск, который ответственные лица часто недооценивают. В статье описываются наиболее уязвимые для атак хакеров слабости в управлении сетью.
Чтобы установить слежку за корпоративной сетью, взломщику достаточно получить в свое распоряжение сетевой принтер, при посредничестве которого он сможет шпионить за всеми компьютерами в сети и целенаправленно искать «дыры» в системе безопасности. Система обнаружения несанкционированного доступа ничего не заметит, так как речь идет всего лишь о принтере и о совершенно обычном обмене данными по протоколу SNMP.
Футуристический сценарий? Отнюдь нет, специалисты давно уже ведут дискуссии по поводу рисков/слабых мест реализаций SNMP и Java в современных принтерах. Последние порождают все большую проблему в связи с расширяющимися возможностями использования их в качестве исходной платформы для хакерских атак. К этому добавляются конфигурация через HTTP или telnet, а также — и в этом состоит самое слабое место — полноценная реализация SNMP для контроля принтеров и управления ими при администрировании сети и систем. Именно SNMP, по крайней мере в наиболее часто применяемой в настоящее время первой версии, представляет собой невероятно ненадежный протокол.
Рисунок 1. Принтеры можно использовать в качестве инструментов для хакерских атак. |
Оснащенные функциями SNMP системы управления сетью при каждом запросе одновременно передают открытым текстом пароль, который злоумышленникам, при желании, не составит труда прочесть. Это позволяет осуществить атаку на важнейшие системы передачи — не только на маршрутизаторы или коммутаторы, но и на сетевые принтеры (см. Рисунок 1). Опытные специалисты на это возразят, что данные протокола SNMP в коммутируемой сети не доступны пользовательским компьютерам. Однако посредством процесса ARP Cache Poisoning хакер может перехватывать информацию и в сетях с коммутаторами. Несмотря на это, управление сетью как фактор риска с далеко идущими последствиями для информационной безопасности по-прежнему недооценивается, хотя понимание проблем безопасности при управлении сетью постепенно растет.
НЕНАДЕЖНЫЕ ИНСТРУМЕНТЫ И МЕТОДЫ
Сегодня администраторы проводят мониторинг большинства систем передачи — концентраторов, коммутаторов, маршрутизаторов и шлюзов — по протоколу SNMP. Частично через тот же самый протокол осуществляются конфигурация и управление этими компонентами. Недостающие функции диагностики реализуются посредством удаленного мониторинга (Remote Monitoring, RMON) во многих сетевых устройствах и обеспечивают поддержку статистических и диагностических задач управления сетью. Все чаще для конфигурации сетевых компонентов применяются серверы Web, и не в последнюю очередь на маршрутизаторах и коммутаторах используется telnet в качестве инструмента для конфигурационных задач. Из-за передачи имени пользователя и пароля открытым текстом, telnet представляет собой особый риск.
В конце 80-х гг. протокол SNMP в виде нескольких RFC получил статус стандарта. В начале 90-х последовали усовершенствования и дополнения протокола SNMP и так называемых баз управляющей информации (Management Information Base, MIB). Рынок быстро принял SNMP, и в 1993 г. вышла его вторая версия. Однако из-за частичной несовместимости с первой версией SNMP она почти не имела шансов на распространение. Разработчики сконцентрировались не на технически оптимальном решении, а на низких затратах на реализацию. С 1998 г. существует третья версия SNMP, но и ей до сих пор не удалось добиться широкого признания.
В существующих системах управления сетью по-прежнему наиболее распространена первая версия SNMP, дополненная необходимыми функциями в соответствии со специфическими требованиями. Разработанные с течением времени вспомогательные функции, например RMON, просто дополняют используемый протокол. Между тем агенты SNMP имеются практически для всего сетевого оборудования, включая концентраторы, коммутаторы и маршрутизаторы, к тому же большая часть операционных систем для ПК, серверов и мэйнфреймов поддерживает SNMP.
SNMP
Основу SNMP составляет структура из агентов и менеджера, который опрашивает агентов и управляет ими (см. Рисунок 2). Агенты, как и менеджер, работают с древовидной базой данных MIB; она частично стандартизирована, а частично создается индивидуально для каждого типа оборудования. Обычно менеджер сам запрашивает значение отдельных переменных MIB, но агенты также имеют право отправлять ему информацию без получения запроса, при этом речь идет о так называемых прерываниях (trap). Менеджер может изменять переменные MIB и таким образом конфигурировать агенты.
Рисунок 2. Агенты SNMP собирают информацию о множестве устройств в сети. |
При взаимодействии используются четыре основные операции, которые в разных вариантах могут применяться и для отправки запроса с целью получения ответа (см. врезку). Обмен данными выполняется посредством протокольных блоков данных (Protocol Data Units, PDU), которые, в свою очередь, основаны на протоколах UDP и IP. Отдельные PDU отличаются видом команд (Get, GetResponse, Set). Заголовок PDU состоит из номера версии и имени сообщества, за ними следует дальнейшая информация или команды. Имя сообщества — единственное средство безопасности SNMP.
ИМЕНА СООБЩЕСТВ
Управление правами объектов базы MIB осуществляется с помощью имен сообществ. Первая версия протокола SNMP предусматривает для этого следующие возможности:
read only (имя, например admin2); read write (имя, например admin1); write only (имя, например configurator); not accessible (имя, например public).
Таким образом, сообществу admin можно присвоить право записи и чтения, в то время как public не дается никаких прав. Если агент принимает PDU с именем сообщества admin, то этот PDU обладает правами чтения и записи, т. е. способен читать и записывать переменные. Агент SNMP отвечает на SNMP PDU только тогда, когда ему известно соответствующее имя сообщества.
ПЕРЕХВАТ
Хакерам легче всего заполучить имена сообществ с правами чтения: одной программы-анализатора (наподобие Ethereal) достаточно для чтения запросов от менеджеров управления сетью. Системы, где для защиты доступа не применяются списки контроля доступа, легко становятся жертвами хакеров.
Но и защита с помощью списков доступа часто бывает мало эффективной из-за ошибок реализации. Нечистые на руку сотрудники могут воспользоваться различными эксплоитами, которые позволяют обходить списки. SNMP основан на UDP, поэтому атакующему легко выдать себя за другую систему.
ПОДБОР ИМЕНИ СООБЩЕСТВА/МЕТОД «ГРУБОЙ СИЛЫ»
Значительный фактор риска представляют собой неудаленные имена сообществ по умолчанию. В Internet можно найти довольно полные списки, на основании которых легко подобрать имена по умолчанию к системам практически любого производителя. Часто администраторы оставляют эти имена после инсталляции, что существенно облегчает хакеру захват систем.
Системы сканирования защиты, например Languard, предлагают легко реализуемую атаку на системы SNMP, в рамках которой в процессе подбора имени сообщества, наряду со списками слов, перебираются все доступные последовательности знаков. Если у хакера есть время (несколько недель), то он может провести такую атаку методом «грубой силы» и без заметного увеличения нагрузки на сеть. Однако подобные действия должны распознаваться всякой хорошо сконфигурированной cистемой обнаружения несанкционированного доступа.
БАЗА УПРАВЛЯЮЩЕЙ ИНФОРМАЦИИ
Обычно MIB содержит, с одной стороны, информацию, находящуюся в стандартизованной части дерева MIB всегда на одном и том же месте, а с другой — дополнения, соответствующие данному устройству.
В нотации отдельные ветви дерева MIB представлены числами. В частности, обратиться к стандартной MIB можно, указав 1.3.6.1.2.1. Для адресации LAN Manager компании IBM используется, например, номер 1.3.6.1. 4.77.1.1.
Ошибки реализации агентов SNMP отчасти дают возможность запрашивать имя сообщества с правами чтения и записи посредством одних лишь запросов GetRequest. Кроме этого, с помощью функции Walk базы IBM можно узнать информацию о системе исключительно с помощью IP-адреса и имени сообщества «только для чтения». Начав со стандартной MIB, хакер переходит к частной MIB, после чего ему открывается доступ ко всевозможной информации. В запросе каждый раз содержится команда GetNextRequest, и таким образом он путешествует по всей структуре MIB. Если, например, активирован агент SNMP компьютера с Windows 2000, то именем сообщества является по умолчанию public. На опрос MIB через функцию Walk хакер получает информацию обо всех сетевых характеристиках компьютера, о важнейших системных данных, а также об активированных службах вплоть до различных извлечений из регистра.
RMON В КАЧЕСТВЕ ПЛАТФОРМЫ ДЛЯ ПЕРЕХВАТА
Стандарт удаленного мониторинга RMON представлен еще одной ветвью в MIB с адресом 1.3.6.1 .2.1.16.1. Реализованные функциональные группы соответствующего зонда RMON можно запросить по адресу: 1.3.6.1.2.1.16.19.1:
- ...hosts (4);
- hostTopN (5);
- matrix (6);
- filter (7);
- capture (8).
RMON разрабатывался с целью дистанционного анализа сети и нахождения неисправностей и, при условии разумного использования, значительно облегчает обслуживание компьютерной сети. Но если хакеру удается завладеть одним зондом RMON в коммутаторе или маршрутизаторе, то у него появляется исключительно удобная исходная позиция для выслеживания новых жертв. В частности, группы RMON предоставляют справку о компьютерах в сети (hosts), отправителях и получателях наибольшего объема данных (hostTopN, как правило, серверы) и т. п. Группы c именем matrix дают картину трафика, а посредством групп filter и capture хакер может установить анализатор и даже настроить его на определенные события, целенаправленно осуществляя, например, запись сеансов telnet или SNA (имя пользователя и пароль открытым текстом). Нетрудно понять, что каждый отслеженный таким образом пользовательский бюджет можно считать скомпрометированным. Нередко «перевербованные» коммутаторы или маршрутизаторы в течение нескольких месяцев используются в качестве исходной базы для хакеров. Так ли уж часто администратор проверяет конфигурацию коммутатора, если он функционирует без сбоев? И насколько велика при этом вероятность, что какая-либо неправильность вообще будет замечена?
ДРУГИЕ АТАКИ
В инструментах управления того или иного производителя можно всегда найти слабые места из-за ошибок реализации. При этом возникает целый ряд проблем безопасности, из-за которых становится возможным доступ к конфигурационным данным, содержащим имена пользователей, пароли и имена сообществ.
Излюбленный прием взломщика — переконфигурация маршрутизаторов. Он может контролировать обмен данными с целью их изменения или только считывания и создавать таким образом условия для технически сложных атак с промежуточным звеном (Man in the Middle), при которых он указывает свой маршрутизатор в качестве еще одного пункта следования пакетов на пути между сервером и жертвой.
Коммутаторы позволяют осуществлять анализ через зеркальные порты. В таком случае хакеру удается получить доступ практически ко всем передаваемым коммутатором данным. Единственное условие — достаточная пропускная способность зеркального порта.
В заключение следует также упомянуть имеющиеся почти в любом программном обеспечении уязвимости вследствие переполнения буфера. Хакеры используют ошибки программирования путем ввода сверхдлинных последовательностей знаков, которые приводят либо к сбою соответствующего процесса/системы (Denial of Service, DoS), либо к исполнению недопустимых шагов программы на атакованной системе. Особенно много найдется таких уязвимых мест у сконфигурированных через сервер Web маршрутизаторов.
ЧТО ДЕЛАТЬ?
Управление сетью — дело опасное. Компетентные хакеры в большинстве случаев добиваются своего и в преступных целях устанавливают контроль над сетевым оборудованием, если им удается получить доступ к нему через IP. Администратор оказывается вынужден удовлетворить чрезвычайно противоречивые требования: с одной стороны, эффективно осуществлять управление сетью, с другой — защищать ее. В крупных сетях названные проблемы решаются хотя бы частично, но небольшие и средние сети нередко подвергаются весьма реальной угрозе. В качестве возможного решения специалисты советуют использовать третью версию протокола SNMP, где предусмотрен ряд защитных механизмов.
Альтернативой могут служить виртуальные частные сети (Virtual Private Networks, VPN). Так, например, предприятие с шифруемой посредством IPSec и защищенной сильной аутентификацией сетью может применять ее для задач управления и таким образом не допустить в нее злоумышленника. Использование сети с сервером терминалов, где передача осуществляется через порты консоли, также позволяет организовать управление вне основной сети и отделить пользователей от информации системы управления сетью. С помощью соответствующей системы обнаружения несанкционированного доступа достигается и значительное усовершенствование системы безопасности.
Эдгар Райнке, Эрик Зестерхенн и Харри Фегеле — эксперты в области Linux и безопасности. С ними можно связаться по адресу: gg@lanline.awi.de.
? AWi Verlag