Zarządzanie usługami jedynie z ustalonych adresów IP wydaje się zabiegiem podnoszącym bezpieczeństwo. Bardzo często to bezpieczeństwo jest jednak złudne.

Typowa konfiguracja urządzeń, takich jak routery, przełączniki czy (niektóre) zapory sieciowe zakłada, że zdalny dostęp administracyjny jest możliwy za pomocą usługi telnet. Aby usługa ta była bezpieczniejsza, konfiguruje się dostęp, tak by umożliwić połączenie na port 23 tylko z konkretnych adresów IP. Do tego celu służą regułki na zaporze, reguły połączenia oraz zwykle dedykowana lista dostępowa, na której znajdują się jedynie komputery administratorów.

Taka konfiguracja jest z pewnością bezpieczniejsza niż całkiem otwarta, w której dostęp administracyjny jest możliwy z dowolnego miejsca, ale przypisywanie jej bezpieczeństwa absolutnego - co w praktyce często ma miejsce - jest nieporozumieniem. Opieranie bezpieczeństwa na adresie jest złudne, ponieważ dziś bez problemu można podszyć się nie tylko pod adres IP, ale także ARP/MAC. Niestety, w wyniku rozwoju narzędzi do włamywania i podsłuchu również inne techniki zabezpieczeń zdalnych połączeń nie są całkowicie skuteczne.

Zrobić router w konia

Na każdym zaawansowanym kursie bezpieczeństwa systemu Linux kursantów zapoznaje się między innymi z atakami polegającymi na podszywaniu (spoofing) oraz "cichym pośrednictwie" (man-in-the-middle). Kursy te są bardzo dobrym źródłem praktycznej wiedzy, umożliwiającej dobre zrozumienie zasad działania sieci. Narzędzia do detekcji zagrożeń sieciowych pracujące w systemach takich jak Linux są jednymi z najlepszych, niemniej wymagają znajomości tego systemu przez administratora.

Takim narzędziem dla Windows jest sTerm, który można pobrać ze stronyhttp://www.oxid.it . Na pozór jest to zwykły klient usługi telnet, ale posiada możliwość podszywania się pod dowolny komputer. Wymaga instalacji bibliotek winpcap służących do bezpośredniej manipulacji pakietami wysyłanymi przez kartę sieciową. Program otwiera połączenie TCP/IP z dowolnego adresu IP, podając fałszywy adres inicjujący połączenie. Ponadto sTerm potrafi sfałszować sprzętowy adres MAC. Zapisy w logach systemu docelowego jednoznacznie wskazują na połączenie ze sfałszowanego adresu. W ten sposób daje się oszukać wiele produktów - z routerami Cisco włącznie (sprawdzałem na Cisco 1710).

Oczywiście na telnecie się nie kończy. Fakt, że router wykorzystuje do administracji narzędzia webowe nie jest przeszkodą dla doświadczonego włamywacza, bowiem sTerm potrafi połączyć się z portem 80. Znajomość protokołu HTTP umożliwia podszywanie się za pomocą terminala. Jest to nieco pracochłonne, ale nadal możliwe. Sprawdziłem to osobiście, łącząc się z serwerami Apache oraz IIS 5.0, a także z dwiema zaporami administrowanymi za pomocą przeglądarki. W każdym z tych przypadków ustawione ograniczenia uniemożliwiały połączenie z prawdziwego adresu badającego komputera.

Brak znajomości właściwego adresu ARP/MAC czy IP nie stanowi wielkiej przeszkody dla włamywacza. Wystarczy posłużyć się narzędziem łączącym cechy ARP Spoofera i skanera wykonującego półotwarte skanowanie (half open scan). Program IRS, bo o nim mowa, wykonuje skanowanie, stosując technikę ARP poisoning, i znajduje w ten sposób adres, z którego należy nawiązać połączenie do danego serwisu. Informacje o samym serwisie i jego porcie można czasami uzyskać, stosując skanowanie portów za pomocą doskonałego programu nmap. Najczęściej jest to jednak port 23, przypisany standardowo usłudze telnet.

Stosując powyższe metody, można bez trudu włamać się do zapory sieciowej. Trzeba znać hasło? Nic to - do tego również można posłużyć się dedykowanym oprogramowaniem. Jeszcze parę lat temu o nasłuchiwaniu komunikacji w sieciach przełączanych mówiło się jak o czymś skrajnie trudnym do wykonania. Dostępne obecnie sniffery sieciowe potrafią także i to.

Nic się nie ukryje

Programem mogącym zainteresować włamywaczy, ale bardzo przydatnym także dla administratorów chcących dokonać audytu wewnętrznego, jest Cain, który po uruchomieniu sniffera potrafi od razu wyłuskiwać z całego ruchu interesujące włamywacza dane. Program działa szybko i bardzo dobrze. Przechwycone skróty haseł mogą podlegać rozszyfrowaniu - już w trybie offline.

Cain jest potężnym narzędziem, które wsparte wiedzą z zakresu bezpieczeństwa umożliwi dokonanie gruntownego audytu bezpieczeństwa w większości firm. To jeden z najlepszych snifferów pracujących w środowisku Windows. Oprócz prostych do wychwycenia haseł do poczty czy sesji telnet, radzi sobie z hasłami sieciowymi SMB, RADIUS, a także SNMP, nie mówiąc o bazach MySQL i Microsoft SQL Server.

Oprócz pracy jako "węszyciel", Cain potrafi łamać hasła zapisane w plikach konfiguracyjnych routerów Cisco, łamać pliki SAM systemu Microsoft Windows, skróty MD2 do MD5, a także SHA-1 i SHA-2. Umie także w pewnych warunkach obliczyć wskazania tokena RSA SecurID. Do kompletu narzędzi sieciowych należy dodać informacje o sieciach bezprzewodowych odbieranych przez kartę komputera, a także o systemach Windows dostępnych w grupie roboczej czy domenie.

Cain potrafi anonimowo sprawdzić listę użytkowników mających profile w systemie Windows, uzyskać informacje o udostępnianych zasobach i pracujących procesach. W niemal każdej dużej sieci są komputery, których ustawienia umożliwiają wszystkim (anonimowo) powyższe działania. Po kilku zabiegach daje się wychwycić nawet informacje o sile zastosowanych haseł. Oczywiście te technologie są znane od dawna, ale łatwo dostępne i skuteczne narzędzia dla Windows otwierają drogę włamywaczom niebędącym specjalistami.

Haczyk na dozorcę

Prawidłowa konfiguracja jest kluczem do bezpieczeństwa w każdym systemie, niezależnie od tego, czy jest to Windows, Linux czy Solaris. Pliki konfiguracyjne routerów Cisco należy przechowywać ze szczególną uwagą, bowiem stosowany w nich algorytm szyfrowania hasła jest bardzo prosty i odzyskanie go na podstawie skrótu nie stanowi problemu (Cain lub inne narzędzia). Włamywacz przecież wcale nie musi pracowicie nasłuchiwać w poszukiwaniu hasła wysyłanego otwartą sesją telnet - czasami wystarczy plik konfiguracji Cisco z zapisem w postaci enable secret 7... Odszyfrowanie hasła jest niemal natychmiastowe.

Do całego arsenału narzędzi dostępnych dla Windows można dodać bardzo dobry program arpworks. Program ten, choć już stary i pracujący tylko w Windows 98, może być narzędziem dla włamywacza, gdyż za pomocą fałszywych pakietów potrafi wywołać wiele błędów sieciowych. Błędy te, sugerujące jakieś problemy sprzętowe lub kłopoty z oprogramowaniem, są bardzo dobrym narzędziem do prowadzenia ataków socjotechnicznych. Za pomocą takich właśnie narzędzi można wywołać poważne kłopoty komunikacyjne, izolację poszczególnych adresów IP, nawał ruchu sieciowego, a nawet tak duży ruch, że wydajność sieci spada prawie do zera.

Gdy włamywacz potrafi używać programów do wywoływania ataków DoS na niskich warstwach, ruch będzie tak duży, że całkowicie uniemożliwi pracę. Jeśli np. celem ataku DoS jest firewall, atak DoS często powoduje jego wyłączenie. Administrator dostaje SMS-a i chwilę potem interweniuje, logując się na ten przez telnet. Jeśli włamywacz uruchomił odpowiednio wcześnie sniffer, hasło administratora dostaje jak na tacy.

W bardzo wielu firmach nie wykorzystuje się nawet tak prostych narzędzi jak arpwatch - najczęściej nikt nie ma czasu na takie eksperymenty. W niektórych firmach ich przeprowadzenie jest niemożliwe ze względu na określoną, np. ustaloną w zagranicznej centrali politykę bezpieczeństwa. Niestety, w wielu przypadkach administratorzy nie wiedzą nawet, że takie narzędzia istnieją, że są potrzebne, i że można ich użyć do efektywnego wykrywania prób włamań. Zawsze to lepiej, gdy takie narzędzia przyjdą razem z nowym routerem, tyle że... wtedy już może być za późno.

Trudno być optymistą

Wnioski nie są zbyt optymistyczne, bowiem jedynym sposobem radykalnego podwyższenia bezpieczeństwa jest szyfrowanie wszelkiej komunikacji przy użyciu standardowych, silnych i otwartych algorytmów z dobrym kluczem. Co prawda wszelkie szyfrowanie powoduje narzut mocy obliczeniowej, ale zyski związane z bezpieczeństwem transmisji zdecydowanie przeważają nad kosztami. W świetle znanych ataków na SSL czy SSH trzeba powiedzieć jasno, że szyfrowanie nie jest panaceum na bezpieczne zdalne zarządzanie, ale dobrze skonfigurowane na pewno podnosi poprzeczkę.

O ile to możliwe, jeśli nie można zdalnie zarządzać w sposób bezpieczny, nie należy tego robić w ogóle. Najbezpieczniejszym sposobem na bezpieczne zarządzanie kluczowymi usługami sieciowymi jest bezpośrednie połączenie za pośrednictwem portu szeregowego. Jeśli urządzeń jest więcej, można wykorzystać dedykowany komputer z utwardzonym systemem operacyjnym i kilkoma portami szeregowymi oraz program minicom. Nie jest to wygodne, ale na pewno bezpieczniejsze.