Встановлені за умовчанням облікові записи

Одним з найчастіше вад, що виявляються, є встановлені за умовчанням ім'я користувача і пароль. Практично всі розробники поставляють на ринок мережеві пристрої, що дозволяють дістати за допомогою подібного облікового запису доступ на рівні користувача, а іноді — і адміністратора (докладніше за див. таблиці. 10.3). Тому вашим першим кроком при налаштуванні таких пристроїв має бути негайне видалення таких облікових записів.

Таблиця 10.3. Стандартні призначені для користувача імена і паролі, які необхідно змінити

Комутатори 3com

Комутатори 3com дуже часто мають декілька вбудованих за умовчанням облікових записів з різним рівнем привілеїв — admin, read, write, debug, test і monitor. Якщо ці вбудовані облікові записи виявляться незахищеними, то з їх допомогою зловмисник зможе отримати призначені для користувача або навіть адміністративні привілею.

Контрзаходи: захист вбудованих облікових записів комутаторів 3com

Для того, щоб змінити пароль, введіть з консолі пристрою команду system password.

Маршрутизатори Bay

Маршрутизатори Bay мають пару встановлених за умовчанням облікових записів, деякі з яких до того ж за умовчанням не захищені паролем. Оскільки при налаштуванні операційної системи зручно користуватися обліковими записами User і Manager, в яких пароль відсутній, то досить часто адміністратори залишають ці облікові записи незахищеними. Це дозволяє зловмисникові за допомогою утиліти telnet дістати прямий доступ до пристрою і через FTP переписати на свій комп'ютер конфігураційні файли. Наприклад, на багатьох комутаторах Bay 350t є обліковий запис Netics без пароля, яка є прекрасним "потайним ходом" в систему. 

Контрзаходи: захист вбудованих облікових записів маршрутизаторів Bay

•  Встановите паролі для облікових записів User і Manager.
•  Відключите підтримку служб FTP і telnet.
•  Додайте список ACL, щоб вирішити підключення з використанням FTP і telnet тільки строго певним вузлам.
•  Обмежте можливості облікового запису User, заборонивши використання протоколів FTP, TFTP і telnet.

Паролі маршрутизаторів Cisco

На різних моделях Cisco неодноразово виявляли різні паролі, використовувані за умовчанням для доступу з віртуального терміналу vty, включаючи такі легко вгадувані, як cisco і cisco routers. Крім того, на деяких моделях були виявлені встановлені за умовчанням паролі cisco, що дозволяють дістати видалений доступ до пристрою. Як ви розумієте, такі паролі потрібно щонайшвидше замінити на складніші. Нарешті, на деяких моделях Cisco 2600, проведених до 24 квітня 1998 року, за умовчанням використовувався пароль, що складається з одной-едінственной букви с.

Контрзаходи: захист маршрутизаторів Cisco

Навіть якщо ви зміните всі виявлені легко вгадувані паролі, встановлені виробником за умовчанням, це зовсім не означає, що ваш пристрій Cisco надійно захищений. Оскільки компанія Cisco не застосовує могутніх алгоритмів шифрування паролів, використовуваних для доступу з терміналів vty, то, виявивши їх тим або іншим способом, зловмисник зможе без зусиль зламати ці паролі. Не дивлячись на це, кожен власник маршрутизатора Cisco повинен якнайскоріше виконати наступні операції.

•  Переконаєтеся в тому, що встановлена служба шифрування паролів (service password-encryption).
•  Виконаєте команду enable password ") <пароль>, щоб зашифрувати пароль vty хоч би за допомогою слабкого алгоритму шифрування Cisco (це все ж таки краще, ніж передача пароля у вигляді незашифрованого тексту).

Пристрої Webramp

Джеймс Ігелхоф (James Egelhof) і Джон Стенлі (John Stanley) встановили, що пристрої Webramp Entre (у версії ISDN) мають встановлені за умовчанням призначене для користувача ім'я wradmin і пароль trancell. Ета обліковий запис надає зловмисникові доступ до пристрою на рівні адміністратора, дозволяючи вносити зміни до конфігурації, змінювати пароль і так далі Цілком імовірно, що подібні недоліки є і в інших продуктах Webramp. 

Контрзаходи: захист пристроїв Webramp

В даному випадку найпростіший метод захисту полягає в зміні адміністративного пароля. Складніше рішення, запропоноване Ігелхофом і Стенлі, полягає в обмеженні доступу з використанням служби telnet через порт WAN. Це можна здійснити декількома способами, проте ми можемо порекомендувати наступний. Знаходячись в середовищі програмного забезпечення пристрою Webramp включите режим Visible Computer для кожного активного модемного порту і направте його на помилкову IP-адрес, наприклад, на адресу, що не маршрутизується, такий як 192.168.100.100. Після цього відключите обидва режими Divert Incoming.

Підключення до кабельного модему Motorola через порт 1024 за допомогою telnet

Як повідомлялося в травневому випуску (1998 р.) хворіючи Bugtraq, програмне забезпечення Cable Router компанії Motorola дозволяє кому завгодно підключитися до прихованого порту telnet. Як з'ясувалося, з портом TCP 1024 пов'язаний чекаючий надходження запитів демон telnet, і, використовуючи встановлені за умовчанням призначене для користувача ім'я cablecom і пароль router, через цю службу можна дістати адміністративний доступ до цього пристрою. Хоча на практиці кабельні модеми від компанії Motorola зустрічаються нечасто, автори залишили опис цієї вади, оскільки він наочно демонструє можливість проникнення в систему через такі "несподівані" порти, як TCP 1024. Чи не допускає ваш модем прихований доступ через службу telnet до якого-небудь іншому порту?