etn - E-oktat

e.oktat.pmmf.hu

etn - E-oktat

MTA SZTAKI; E4 - 4671/4/2003 Utolsó nyomtatás: 2004. 07. 08.

bejövő kapcsolatok számát, valamint tűzfallal védeni a belső hálózatot (pl. kívülről hamisított

belső IP címmel ne engedjünk hozzáférést). A TCP sorszám alapú támadás ellen olyan operációs

rendszer alkalmazásával lehet védekezni, amely minden új TCP kapcsolatfelvételkor

véletlenszerűen generál ISN-t. A rendszer ilyen szempontú ellenőrzésére kiválóan használható az

nmap portscanner és operációs rendszer azonosító program (ld. http://www.insecure.org).

3.4.5 Hosztok közötti bizalmi viszony kihasználása

Hálózati rendszerekben nemritkán alkalmazták a hosztok közötti bizalmi viszony (trusted host)

megoldást, elsősorban a felhasználók kényelme érdekében. Ha a csoport egyik elemét képező

Unix hosztra a felhasználó sikeres hitelesítés után bejelentkezett, a másik, ezzel bizalmi

viszonyban álló Unix hosztra hitelesítés nélkül átjelentkezhet (rlogin és rsh parancsok). A

bizalmi viszony hosztonként és/vagy felhasználónként adható meg, amelyet a Unix IP cím

alapján ellenőriz. Tehát ha pl. a B hoszt megbízik A-ban, akkor a B /etc/hosts.equiv

fájljában egy erre vonatkozó bejegyzésnek kell szerepelni. Ezek után, ha egy felhasználó A-ra

sikeresen bejelentkezik, ugyanazon UID-del (root-ot is beleértve!) jelszó megadása nélkül

átjelentkezhet B-re.

Nem nehéz látni, hogy a TCP sorszám-alapú támadás szempontjából ez egy ideális helyzet. A

támadónak nem kell mást tenni, mint A-t megszemélyesítve támadni B rsh (remote shell) TCP

portját. Először A-t lebénítja pl. SYN csomagokkal (ld. SYN elárasztás), B-től ISN mintákat

véve kitalálja a következő ISN-t, A-t megszemélyesítve TCP kapcsolatot kezdeményez B rsh

portjához, majd B rsh portjára küldi pl. az “echo + + >> /.rhosts” adatrészt tartalmazó

TCP csomagot, a kitalált sorszámmal. Mivel B IP címe alapján megbízik A-ban, ezért megbízik

a támadóban is, és az echo parancsot végrehajtja (nem részletezzük a jelentését). Ezután B-re

távolról bárki teljes jogokkal (root-ként), hitelesítés nélkül, rlogin paranccsal bejelentkezhet.

Egyébként pontosan ezt a klasszikus módszert alkalmazta 1994-ben Kevin Mitnick, amikor

feltörte Tsutomu Shimomura rendszerét. Mintnicknek természetesen szüksége volt arra az

információra, hogy Shimomura két Unix rendszere bizalmi viszonyban áll egymással. Igazából

ez jelentette azt a biztonsági hiányosságot, amit kihasználva a behatolás sikerült (ld. 10.2.3).

3.4.6 Útválasztók (router) elleni támadások

Az útválasztó az Internet legfontosabb eszköze. Útválasztók végzik az IP csomagok irányítását

az IP csomagok fejlécében található cím információ, és saját routing táblájuk szerint. Az

útválasztókat nem érdekli az IP csomagba ágyazott információ, így nem kezelik sem az UDP,

sem a TCP, sem pedig a magasabb szintű protokollokat (ez természetesen csak az áthaladó

irányított csomagokra igaz, adminisztrációs protokollokra nem). A legtöbb útválasztó azonban

elláthat olyan csomagszűrő funkciót is, amelynek során IP csomagokat a bennük foglalt TCP

vagy UDP csomagok fejléc információi alapján szűr, mégsem mondhatjuk, hogy kezelik ezeket a

protokollokat. Ilyen fajta, részben tűzfal funkciókat is ellátó útválasztókat főleg lokális hálózatok

Internet kijáratánál alkalmaznak.

Az útválasztók kellőképpen bonyolult eszközök ahhoz, hogy üzemszerű alkalmazásuk során

megkívánják az adminisztrálást (szemben pl. a hubokkal). Nyilvánvaló, hogy egy útválasztó

üzembe állításakor a környezetének megfelelően fel kell tölteni routing tábláját. A routing tábla

feltöltése, az útválasztó konfigurálása adminisztrátori feladat, amelyet megfelelő jogosultság

megszerzése után lehet elvégezni. Az útválasztók ezért saját operációs rendszert (gyakran a

� MTAsec_w1 73/517

MTA SZTAKI; E4 - 4671/4/2003 Utolsó nyomtatás: 2004. 07. 08.

célnak megfelelően redukált funkcionalitású Unix variánst, Cisco esetében pedig saját, IOS nevű

rendszert) futtatnak, ez biztosítja a hozzáférésvédelmet, a konfiguráció kezelését, esetleg távoli

titkosított elérhetőséget és a csomagok irányítását.

Az adminisztrációs feladatok elvégzésére különböző elérhetőségi lehetőségeket biztosítanak,

mint pl. soros vonali terminál kapcsolat, és TCP alapú kapcsolatok (telnet, SSH, HTTP, vagy

saját protokoll). Az útválasztók a routing információkat egymásközt is megoszthatják, pl. a RIP

(Routing Information Protocol), EIGRP (Extended Interior Gateway Routing Protocol; Cisco

protokollja), OSPF (Open Shortest Path First), BGP (Border Gateway Protocol) protokollok

segítségével. Erre leginkább akkor van szükség, ha valamilyen okból a hálózat egy szakasza

üzemképtelenné válik, vagy új szakasz lép életbe. Ilyenkor az eseményt észlelő útválasztók

tájékoztatják a többi útválasztót, megosztva velük az új információt. Természetesen a többi

útválasztó a kapott információnak megfelelően módosítja routing tábláját.

Támadási szempontból nyilván az adminisztrátori felügyelet megszerzése, a routing információk

cseréjének manipulálása, és különböző szolgáltatásbénító támadások jöhetnek szóba. Ha egy

támadó vaktában keres megtámadandó útválasztót, különböző scan programok (pl. nmap)

segítségével könnyen beazonosíthatja azokat. Az Interneten legelterjedtebben alkalmazott Cisco

útválasztókat az nmap különböző „személyiség jegyek” alapján jó eséllyel felismeri (pl. 2001,

4001, 6001 –es TCP “cisco finger” portok, vagy 9001-es TCP “cisco Xremote service”).

Konfigurációs hibának minősíthető tehát, ha az útválasztó bárki számára azonosítja magát,

hiszen ezzel a támadó dolgát nagyban megkönnyíti. Pl. a Cisco útválasztók 1999-es TCP portjára

(ident) kapcsolódva, a “cisco” választ kapjuk. Az útválasztó akkor helyesen konfigurált, ha a

támadó által nem azonosítható típusa és operációs rendszerének verziója. Az azonosíthatóság

ellen legkönnyebben a beépített csomagszűrő funkció alkalmazásával lehet védekezni: csak a

feltétlenül szükséges hozzáféréseket kell megengedni.

Az adminisztrátori felügyelet megszerzése természetesen hitelesítés után lehetséges. Itt a

jelszókezeléssel kapcsolatban minden rendszerre általában vonatkozó szabályokat kell szem előtt

tartani. A gyártók az útválasztóikat gyakran alapértelmezett módon beállított jelszóval szállítják.

Mielőtt az útválasztót hálózatra kapcsolnánk, feltétlenül meg kell változtatni ezt a jelszót. Cisco

útválasztók esetében a “cisco”, “cisco routers”, vagy “c” alapértelmezett (default) jelszók

ismertek. A támadó, ha hozzáfér az útválasztó adminisztrációs portjához (konzol vagy telnet),

ezekkel a jelszavakkal fog először próbálkozni, sajnos gyakran eredményesen. A támadó

számára másik lehetőség, ha valamilyen módon meg tudja szerezni (pl. SNMP-n, vagy TFTP-n

keresztül; ld. később) az útválasztó konfigurációs fájlját. A Cisco többféle módon tárolhatja a

jelszavakat: az ún. 0-ás típusú jelszavakat nyíltan, míg az 5-ös és 7-es típusú jelszavak egyirányú

rejtjeles képét tárolja a konfigurációs fájlban. Az 5-ös típusú jelszó képét MD5 hash

algoritmussal állítják elő, ez jelenleg kriptográfiailag erősnek tekinthető. A 7-es típusú jelszavak

esetében azonban jóval gyengébb algoritmust használnak, amely lehetővé teszi a nyílt jelszó

visszaállítását. A jelszó visszaállítására az Internetről kész programok tölthetők le, pl.

ios7decrypt.pl, vagy a GetPass!. Cisco útválasztókon ezért mindenképpen az 5-ös típusú

jelszavak alkalmazása javasolt.

Az alapértelmezett account-ok problémája nem csak a Cisco eszközeit érinti. A 3Com

kapcsolókba többféle alapértelmezett account-ot is beépítettek, ezek más-más szintű hozzáférést

engedélyeznek. A Bay útválasztók “User“ és “Manager“ account-jainak eléréséhez

alapértelmezett módon nem kell jelszót megadni. Ez a támadó számára a konfiguráció direkt

elérését, vagy FTP-vel való letöltését teszi lehetővé. A Webramp ISDN útválasztójának

alapértelmezett adminisztrátori account-ja “wradmin“ névvel, “trancell“ jelszóval érhető el.

Az alapértelmezett account-ok jelenléte alapértelmezett jelszóval igen veszélyes, ezért feltétlenül

megváltoztatandók. Másrészt az adminisztrációs portok (telnet, SSH, FTP,...) elérése a

� MTAsec_w1 74/517

More magazines by this user
Similar magazines