Через протоколы и приложения управления сетью передается большое количество важной и критической информации. Именно поэтому данные решения представляют собой риск, который ответственные лица часто недооценивают. В статье описываются наиболее уязвимые для атак хакеров слабости в управлении сетью.

Чтобы установить слежку за корпоративной сетью, взломщику достаточно получить в свое распоряжение сетевой принтер, при посредничестве которого он сможет шпионить за всеми компьютерами в сети и целенаправленно искать «дыры» в системе безопасности. Система обнаружения несанкционированного доступа ничего не заметит, так как речь идет всего лишь о принтере и о совершенно обычном обмене данными по протоколу SNMP.

Футуристический сценарий? Отнюдь нет, специалисты давно уже ведут дискуссии по поводу рисков/слабых мест реализаций SNMP и Java в современных принтерах. Последние порождают все большую проблему в связи с расширяющимися возможностями использования их в качестве исходной платформы для хакерских атак. К этому добавляются конфигурация через HTTP или telnet, а также — и в этом состоит самое слабое место — полноценная реализация SNMP для контроля принтеров и управления ими при администрировании сети и систем. Именно SNMP, по крайней мере в наиболее часто применяемой в настоящее время первой версии, представляет собой невероятно ненадежный протокол.

Рисунок 1. Принтеры можно использовать в качестве инструментов для хакерских атак.

Оснащенные функциями SNMP системы управления сетью при каждом запросе одновременно передают открытым текстом пароль, который злоумышленникам, при желании, не составит труда прочесть. Это позволяет осуществить атаку на важнейшие системы передачи — не только на маршрутизаторы или коммутаторы, но и на сетевые принтеры (см. Рисунок 1). Опытные специалисты на это возразят, что данные протокола SNMP в коммутируемой сети не доступны пользовательским компьютерам. Однако посредством процесса ARP Cache Poisoning хакер может перехватывать информацию и в сетях с коммутаторами. Несмотря на это, управление сетью как фактор риска с далеко идущими последствиями для информационной безопасности по-прежнему недооценивается, хотя понимание проблем безопасности при управлении сетью постепенно растет.

НЕНАДЕЖНЫЕ ИНСТРУМЕНТЫ И МЕТОДЫ

Сегодня администраторы проводят мониторинг большинства систем передачи — концентраторов, коммутаторов, маршрутизаторов и шлюзов — по протоколу SNMP. Частично через тот же самый протокол осуществляются конфигурация и управление этими компонентами. Недостающие функции диагностики реализуются посредством удаленного мониторинга (Remote Monitoring, RMON) во многих сетевых устройствах и обеспечивают поддержку статистических и диагностических задач управления сетью. Все чаще для конфигурации сетевых компонентов применяются серверы Web, и не в последнюю очередь на маршрутизаторах и коммутаторах используется telnet в качестве инструмента для конфигурационных задач. Из-за передачи имени пользователя и пароля открытым текстом, telnet представляет собой особый риск.

В конце 80-х гг. протокол SNMP в виде нескольких RFC получил статус стандарта. В начале 90-х последовали усовершенствования и дополнения протокола SNMP и так называемых баз управляющей информации (Management Information Base, MIB). Рынок быстро принял SNMP, и в 1993 г. вышла его вторая версия. Однако из-за частичной несовместимости с первой версией SNMP она почти не имела шансов на распространение. Разработчики сконцентрировались не на технически оптимальном решении, а на низких затратах на реализацию. С 1998 г. существует третья версия SNMP, но и ей до сих пор не удалось добиться широкого признания.

В существующих системах управления сетью по-прежнему наиболее распространена первая версия SNMP, дополненная необходимыми функциями в соответствии со специфическими требованиями. Разработанные с течением времени вспомогательные функции, например RMON, просто дополняют используемый протокол. Между тем агенты SNMP имеются практически для всего сетевого оборудования, включая концентраторы, коммутаторы и маршрутизаторы, к тому же большая часть операционных систем для ПК, серверов и мэйнфреймов поддерживает SNMP.

SNMP

Основу SNMP составляет структура из агентов и менеджера, который опрашивает агентов и управляет ими (см. Рисунок 2). Агенты, как и менеджер, работают с древовидной базой данных MIB; она частично стандартизирована, а частично создается индивидуально для каждого типа оборудования. Обычно менеджер сам запрашивает значение отдельных переменных MIB, но агенты также имеют право отправлять ему информацию без получения запроса, при этом речь идет о так называемых прерываниях (trap). Менеджер может изменять переменные MIB и таким образом конфигурировать агенты.

Рисунок 2. Агенты SNMP собирают информацию о множестве устройств в сети.

При взаимодействии используются четыре основные операции, которые в разных вариантах могут применяться и для отправки запроса с целью получения ответа (см. врезку). Обмен данными выполняется посредством протокольных блоков данных (Protocol Data Units, PDU), которые, в свою очередь, основаны на протоколах UDP и IP. Отдельные PDU отличаются видом команд (Get, GetResponse, Set). Заголовок PDU состоит из номера версии и имени сообщества, за ними следует дальнейшая информация или команды. Имя сообщества — единственное средство безопасности SNMP.

ИМЕНА СООБЩЕСТВ

Управление правами объектов базы MIB осуществляется с помощью имен сообществ. Первая версия протокола SNMP предусматривает для этого следующие возможности:

read only (имя, например admin2);
read write (имя, например admin1);
write only (имя, например configurator);
not accessible (имя, например public).

Таким образом, сообществу admin можно присвоить право записи и чтения, в то время как public не дается никаких прав. Если агент принимает PDU с именем сообщества admin, то этот PDU обладает правами чтения и записи, т. е. способен читать и записывать переменные. Агент SNMP отвечает на SNMP PDU только тогда, когда ему известно соответствующее имя сообщества.

ПЕРЕХВАТ

Хакерам легче всего заполучить имена сообществ с правами чтения: одной программы-анализатора (наподобие Ethereal) достаточно для чтения запросов от менеджеров управления сетью. Системы, где для защиты доступа не применяются списки контроля доступа, легко становятся жертвами хакеров.

Но и защита с помощью списков доступа часто бывает мало эффективной из-за ошибок реализации. Нечистые на руку сотрудники могут воспользоваться различными эксплоитами, которые позволяют обходить списки. SNMP основан на UDP, поэтому атакующему легко выдать себя за другую систему.

ПОДБОР ИМЕНИ СООБЩЕСТВА/МЕТОД «ГРУБОЙ СИЛЫ»

Значительный фактор риска представляют собой неудаленные имена сообществ по умолчанию. В Internet можно найти довольно полные списки, на основании которых легко подобрать имена по умолчанию к системам практически любого производителя. Часто администраторы оставляют эти имена после инсталляции, что существенно облегчает хакеру захват систем.

Системы сканирования защиты, например Languard, предлагают легко реализуемую атаку на системы SNMP, в рамках которой в процессе подбора имени сообщества, наряду со списками слов, перебираются все доступные последовательности знаков. Если у хакера есть время (несколько недель), то он может провести такую атаку методом «грубой силы» и без заметного увеличения нагрузки на сеть. Однако подобные действия должны распознаваться всякой хорошо сконфигурированной cистемой обнаружения несанкционированного доступа.

БАЗА УПРАВЛЯЮЩЕЙ ИНФОРМАЦИИ

Обычно MIB содержит, с одной стороны, информацию, находящуюся в стандартизованной части дерева MIB всегда на одном и том же месте, а с другой — дополнения, соответствующие данному устройству.

В нотации отдельные ветви дерева MIB представлены числами. В частности, обратиться к стандартной MIB можно, указав 1.3.6.1.2.1. Для адресации LAN Manager компании IBM используется, например, номер 1.3.6.1. 4.77.1.1.

Ошибки реализации агентов SNMP отчасти дают возможность запрашивать имя сообщества с правами чтения и записи посредством одних лишь запросов GetRequest. Кроме этого, с помощью функции Walk базы IBM можно узнать информацию о системе исключительно с помощью IP-адреса и имени сообщества «только для чтения». Начав со стандартной MIB, хакер переходит к частной MIB, после чего ему открывается доступ ко всевозможной информации. В запросе каждый раз содержится команда GetNextRequest, и таким образом он путешествует по всей структуре MIB. Если, например, активирован агент SNMP компьютера с Windows 2000, то именем сообщества является по умолчанию public. На опрос MIB через функцию Walk хакер получает информацию обо всех сетевых характеристиках компьютера, о важнейших системных данных, а также об активированных службах вплоть до различных извлечений из регистра.

RMON В КАЧЕСТВЕ ПЛАТФОРМЫ ДЛЯ ПЕРЕХВАТА

Стандарт удаленного мониторинга RMON представлен еще одной ветвью в MIB с адресом 1.3.6.1 .2.1.16.1. Реализованные функциональные группы соответствующего зонда RMON можно запросить по адресу: 1.3.6.1.2.1.16.19.1:

  • ...hosts (4);
  • hostTopN (5);
  • matrix (6);
  • filter (7);
  • capture (8).

RMON разрабатывался с целью дистанционного анализа сети и нахождения неисправностей и, при условии разумного использования, значительно облегчает обслуживание компьютерной сети. Но если хакеру удается завладеть одним зондом RMON в коммутаторе или маршрутизаторе, то у него появляется исключительно удобная исходная позиция для выслеживания новых жертв. В частности, группы RMON предоставляют справку о компьютерах в сети (hosts), отправителях и получателях наибольшего объема данных (hostTopN, как правило, серверы) и т. п. Группы c именем matrix дают картину трафика, а посредством групп filter и capture хакер может установить анализатор и даже настроить его на определенные события, целенаправленно осуществляя, например, запись сеансов telnet или SNA (имя пользователя и пароль открытым текстом). Нетрудно понять, что каждый отслеженный таким образом пользовательский бюджет можно считать скомпрометированным. Нередко «перевербованные» коммутаторы или маршрутизаторы в течение нескольких месяцев используются в качестве исходной базы для хакеров. Так ли уж часто администратор проверяет конфигурацию коммутатора, если он функционирует без сбоев? И насколько велика при этом вероятность, что какая-либо неправильность вообще будет замечена?

ДРУГИЕ АТАКИ

В инструментах управления того или иного производителя можно всегда найти слабые места из-за ошибок реализации. При этом возникает целый ряд проблем безопасности, из-за которых становится возможным доступ к конфигурационным данным, содержащим имена пользователей, пароли и имена сообществ.

Излюбленный прием взломщика — переконфигурация маршрутизаторов. Он может контролировать обмен данными с целью их изменения или только считывания и создавать таким образом условия для технически сложных атак с промежуточным звеном (Man in the Middle), при которых он указывает свой маршрутизатор в качестве еще одного пункта следования пакетов на пути между сервером и жертвой.

Коммутаторы позволяют осуществлять анализ через зеркальные порты. В таком случае хакеру удается получить доступ практически ко всем передаваемым коммутатором данным. Единственное условие — достаточная пропускная способность зеркального порта.

В заключение следует также упомянуть имеющиеся почти в любом программном обеспечении уязвимости вследствие переполнения буфера. Хакеры используют ошибки программирования путем ввода сверхдлинных последовательностей знаков, которые приводят либо к сбою соответствующего процесса/системы (Denial of Service, DoS), либо к исполнению недопустимых шагов программы на атакованной системе. Особенно много найдется таких уязвимых мест у сконфигурированных через сервер Web маршрутизаторов.

ЧТО ДЕЛАТЬ?

Управление сетью — дело опасное. Компетентные хакеры в большинстве случаев добиваются своего и в преступных целях устанавливают контроль над сетевым оборудованием, если им удается получить доступ к нему через IP. Администратор оказывается вынужден удовлетворить чрезвычайно противоречивые требования: с одной стороны, эффективно осуществлять управление сетью, с другой — защищать ее. В крупных сетях названные проблемы решаются хотя бы частично, но небольшие и средние сети нередко подвергаются весьма реальной угрозе. В качестве возможного решения специалисты советуют использовать третью версию протокола SNMP, где предусмотрен ряд защитных механизмов.

Альтернативой могут служить виртуальные частные сети (Virtual Private Networks, VPN). Так, например, предприятие с шифруемой посредством IPSec и защищенной сильной аутентификацией сетью может применять ее для задач управления и таким образом не допустить в нее злоумышленника. Использование сети с сервером терминалов, где передача осуществляется через порты консоли, также позволяет организовать управление вне основной сети и отделить пользователей от информации системы управления сетью. С помощью соответствующей системы обнаружения несанкционированного доступа достигается и значительное усовершенствование системы безопасности.

Эдгар Райнке, Эрик Зестерхенн и Харри Фегеле — эксперты в области Linux и безопасности. С ними можно связаться по адресу: gg@lanline.awi.de.

? AWi Verlag