Бесплатный электронный учебник по защите информации компьютера в интернет |
|
служба
Компьютерная помощь |
Устранение изъянов |
Антивирусная защита компьютера. Вызов мастера на дом в Кириши: (8911) 239-8212 |
|
|||||
|
Устранение изъянов Возможность хакинга сетевых устройств в значительной степени зависит от объема и качества проведенных в сети защитных мероприятий. Если вы выбрали пароли для подключений telnet и строки доступа SNMP, которые трудно подобрать, ограничили использование служб FTP и TFTP, а также активизировали режим регистрации всех событий, имеющих отношение к безопасности (при условии, конечно, что кто-то регулярно просматривает эти журналы), то описанные ниже изъяны вряд ли окажутся опасными для вашей сети. С другой стороны, если ваша сеть достаточно обширна и имеет сложную для управления структуру, в ней могут оказаться узлы, безопасность которых, мягко говоря, далека от идеальной. В связи с этим нелишним будет выполнить дополнительную проверку и лишний раз застраховаться от неожиданностей. |
||||
Устаревшая база данных MIB Cisco и Ascend Устройства компаний Cisco и Ascend поддерживают базу
данных MIB устаревшего формата, которая через открытые строки доступа,
обеспечивающие чтение и запись, позволяет любому пользователю получить
конфигурационный файл с использованием TFTP. Если речь идет об устройствах
Cisco, то эта база данных называется OLD-CISCO-SYS-MIB. Ввиду того
что в этом файле содержится пароль для доступа к устройству Cisco
(он зашифрован весьма примитивным способом — с помощью операции XOR),
взломщик может легко расшифровать его и использовать для реконфигурации
вашего маршрутизатора или коммутатора.
Получив конфигурационный файл, остается лишь расшифровать пароль. Для этого достаточно щелкнуть на кнопке Decrypt Password панели инструментов, как показано на рис. 10.5.
Если же вы хотите проверить, является ли ваше устройство
уязвимым, не прибегая к "хакерским методам", то можно воспользоваться
базой данных Cisco, находящейся по адресу ftp://ftp.cisco.com/pub/mibs/supportlists/.
Найдите свое устройство и перепишите на свой компьютер файл supportlist.txt.
Затем вам остается проверить, поддерживается ли этим устройством база
данных MIB старого формата, т.е. OLD-CISCO-SYS-MIB. Если это так,
то вам придется принимать дополнительные меры по защите маршрутизатора.
line vty 0 4 snmpset 10.11.12.13 private Контрмеры: защита базы данных MIB Обнаружение Самый простой способ обнаружения SNMP-запросов на
запись в базу данных MIB заключается в использовании утилиты syslog,
настроенной на регистрацию каждого запроса. Для этого сначала на компьютере
с системой UNIX или NT нужно запустить демон syslog, а затем настроить
его таким образом, чтобы он регистрировал соответствующие события.
На устройстве Cisco это можно сделать с помощью следующей команды.
logging 196.254.92.83 Защита Для того чтобы воспрепятствовать злоумышленнику получить
старую базу MIB, можно предпринять следующие меры.
access-list 101 permit udp 172.29.11.0 0.255.255.255 any eq 161 log
Слабость алгоритмов шифрования паролей Cisco Устройства Cisco, по крайней мере на момент написания
данной книги, имели слабый алгоритм шифрования, используемый как при
хранении пароля vty, так и пароля доступа. Оба пароля хранятся в конфигурационном
файле устройств, а их взлом не представляет особого труда. Для того
чтобы узнать, является ли ваш маршрутизатор уязвимым, просмотрите
конфигурационный файл с помощью следующей команды. line vty 0 4 Расшифровать такой пароль можно с помощью одной из множества программ, имеющихся в Internet. . Первая из них, написанная хакером Хоббитом (Hobbit) (http://www.avian.org), представляет собой сценарий командной оболочки. Вторая программа, ciscocrack.c, написана на языке С хакером Сфайксом (SPHiXe). Ее можно найти в многочисленных статьях, посвященных анализу паролей Cisco. Третьей программой является приложение Palm Pilot, созданное доктором Маджем (Dr. Mudge), одним из участников группы L0pht. И наконец, модуль расшифровки пароля Cisco был создан компанией SolarWinds. В системе NT этот модуль функционирует как часть программного пакета управления сетью. Его можно найти по адресу http://www.solarwinds.net. Модуль расшифровки паролей Cisco компании SolarWinds Для тех, кто лучше знаком с системой Windows, существует соответствующая версия модуля расшифровки паролей Cisco, подготовленная компанией SolarWinds из города Тулса штата Оклахома (Tulsa, Oklahoma). Компания SolarWinds разрабатывает сетевое программное обеспечение для больших телекоммуникационных компаний и включает модуль расшифровки в состав приложения просмотра параметров настройки устройств Cisco (Cisco Config Viewer). Кроме того, этот модуль распространяется и как самостоятельное приложение (рис. 10.6).
Контрмеры: защита паролей Cisco Единственным решением проблемы защиты пароля доступа
(enable password) является использование для изменения пароля команды
enable secret. Эта команда защищает пароль доступа с помощью алгоритма
шифрования MD5, для которого пока что нет известных методов быстрого
взлома. К сожалению, остальные пароли Cisco, такие как пароли доступа
vty, защитить ни этим, ни каким-либо другим методом нельзя. Получение файлов с помощью TRP Практически все маршрутизаторы поддерживают использование
протокола TFTP (Trivial File Transfer Protocol). Этот протокол представляет
собой основанный на протоколе UDP механизм передачи файлов, применяемый
для резервного копирования и восстановления конфигурационных файлов,
который связан с портом UDP 69. Как вы понимаете, обнаружить эту службу,
запущенную на вашем устройстве, достаточно просто с помощью утилиты
nmap. [root@happy] tftp Контрмеры: защита от применения ТFTР Для того чтобы устранить угрозу, таящуюся в использовании
протокола TFTP, можно предпринять следующие меры.
access-list 101 deny udp any any eq 69 log ! Конфигурационные файлы устройств компании Bay Программное обеспечение управления сетью компании
Bay Networks, диспетчер Site Manager, позволяет администраторам выполнять
тестирование состояния сети, включая проверку SNMP-статуса устройства
и установление факта его работоспособности с помощью пакетов IСМР.
К сожалению, конфигурационные файлы .cfg, предназначенные для хранения
параметров Site Manager, хранятся в незашифрованном виде. Помимо прочего,
в этом файле хранятся также строки доступа SNMP. Если злоумышленнику
удастся проникнуть на компьютер, работающий под управлением Site Manager,
все, что ему нужно сделать, — это скопировать конфигурационные файлы
в свою версию Site Manager и найти в них информацию о строках доступа
SNMP. Контрмеры: защита конфигурационных файлов Вау Самая простая защитная мера заключается в ограничении списка пользователей. которым разрешено копировать конфигурационные файлы. Для этого достаточно разрешить чтение этих файлов только суперпользователю root (или только администратору, отвечающему за настройку маршрутизатора). |
|||||
|
|
|||
|