LU.NET.UA - Захист інформації в інтернеті

:: Меню ::

Головна
Введення

Частина I.
Вивчення мети

1. Попередній збір даних
2. Сканування
3. Інвентаризація

Частина II.
Уразливість систем

4. Уразливість Windows 95/98/me
5. Уразливість Windows NT
6. Уразливість Windows 2000

Частина III.
Уразливість мереж

9. Уразливість видалених з'єднань, РВХ, Voicemail і віртуальних приватних мереж
10. Мережеві пристрої
11. Брандмауери
12. Атаки DOS

   Частина IV.
Уразливість програмного забезпечення

13. Вади засобів видаленого управління
14. Розширені методи
15. Уразливість в Web
16. Атаки на користувачів Internet
 Братани
Карта сайту
Добавити у вибране

:: Друзі ::

--

:: Статистика ::

 

 

 

 

 


Встановлені за умовчанням облікові записи

Одним з найчастіше вад, що виявляються, є встановлені за умовчанням ім'я користувача і пароль. Практично всі розробники поставляють на ринок мережеві пристрої, що дозволяють дістати за допомогою подібного облікового запису доступ на рівні користувача, а іноді — і адміністратора (докладніше за див. таблиці. 10.3). Тому вашим першим кроком при налаштуванні таких пристроїв має бути негайне видалення таких облікових записів.

Таблиця 10.3. Стандартні призначені для користувача імена і паролі, які необхідно змінити

Пристрій
Ім'я
Пароль
Рівень
Маршрутизатор Bay
User Manager
<ні> <ні>
Користувач Адміністратор
Комутатор Bay 350t Bay Superstack II 3com
Netlcs Security
admin
 read
 write 
debug 
tech
 monitor
 manager 
security
<ні> Security
synnet 
synnet
 synnet
 synnet
 tech 
monitor
 manager 
security
Адміністратор Адміністратор
Адміністратор Користувач Адміністратор Адміністратор
Користувач Адміністратор Адміністратор
Cisco
(telnet)
  (telnet) 
enable 
(telnet)
з (Cisco 2600)
CISCO
cisco 
cisco routers
Користувач
 Користувач
 Адміністратор
Shiva
Webramp Motorola Cablerouter
root 
Guest
wradmin 
cablecom
<ні>
 <ні>
trancell
 router
Адміністратор Користувач
Адміністратор
 Адміністратор

Комутатори 3com


Комутатори 3com дуже часто мають декілька вбудованих за умовчанням облікових записів з різним рівнем привілеїв — admin, read, write, debug, test і monitor. Якщо ці вбудовані облікові записи виявляться незахищеними, то з їх допомогою зловмисник зможе отримати призначені для користувача або навіть адміністративні привілею.

Контрзаходи: захист вбудованих облікових записів комутаторів 3com


Для того, щоб змінити пароль, введіть з консолі пристрою команду system password.

Маршрутизатори Bay


Маршрутизатори Bay мають пару встановлених за умовчанням облікових записів, деякі з яких до того ж за умовчанням не захищені паролем. Оскільки при налаштуванні операційної системи зручно користуватися обліковими записами User і Manager, в яких пароль відсутній, то досить часто адміністратори залишають ці облікові записи незахищеними. Це дозволяє зловмисникові за допомогою утиліти telnet дістати прямий доступ до пристрою і через FTP переписати на свій комп'ютер конфігураційні файли. Наприклад, на багатьох комутаторах Bay 350t є обліковий запис Netics без пароля, яка є прекрасним "потайним ходом" в систему. 

Контрзаходи: захист вбудованих облікових записів маршрутизаторів Bay


  •  Встановите паролі для облікових записів User і Manager.
  •  Відключите підтримку служб FTP і telnet.
  •  Додайте список ACL, щоб вирішити підключення з використанням FTP і telnet тільки строго певним вузлам.
  •  Обмежте можливості облікового запису User, заборонивши використання протоколів FTP, TFTP і telnet.

Паролі маршрутизаторів Cisco


На різних моделях Cisco неодноразово виявляли різні паролі, використовувані за умовчанням для доступу з віртуального терміналу vty, включаючи такі легко вгадувані, як cisco і cisco routers. Крім того, на деяких моделях були виявлені встановлені за умовчанням паролі cisco, що дозволяють дістати видалений доступ до пристрою. Як ви розумієте, такі паролі потрібно щонайшвидше замінити на складніші. Нарешті, на деяких моделях Cisco 2600, проведених до 24 квітня 1998 року, за умовчанням використовувався пароль, що складається з одной-едінственной букви с.

Контрзаходи: захист маршрутизаторів Cisco


Навіть якщо ви зміните всі виявлені легко вгадувані паролі, встановлені виробником за умовчанням, це зовсім не означає, що ваш пристрій Cisco надійно захищений. Оскільки компанія Cisco не застосовує могутніх алгоритмів шифрування паролів, використовуваних для доступу з терміналів vty, то, виявивши їх тим або іншим способом, зловмисник зможе без зусиль зламати ці паролі. Не дивлячись на це, кожен власник маршрутизатора Cisco повинен якнайскоріше виконати наступні операції.

  •  Переконаєтеся в тому, що встановлена служба шифрування паролів (service password-encryption).
  •  Виконаєте команду enable password ") <пароль>, щоб зашифрувати пароль vty хоч би за допомогою слабкого алгоритму шифрування Cisco (це все ж таки краще, ніж передача пароля у вигляді незашифрованого тексту).

Пристрої Webramp


Джеймс Ігелхоф (James Egelhof) і Джон Стенлі (John Stanley) встановили, що пристрої Webramp Entre (у версії ISDN) мають встановлені за умовчанням призначене для користувача ім'я wradmin і пароль trancell. Ета обліковий запис надає зловмисникові доступ до пристрою на рівні адміністратора, дозволяючи вносити зміни до конфігурації, змінювати пароль і так далі Цілком імовірно, що подібні недоліки є і в інших продуктах Webramp. 

Контрзаходи: захист пристроїв Webramp


В даному випадку найпростіший метод захисту полягає в зміні адміністративного пароля. Складніше рішення, запропоноване Ігелхофом і Стенлі, полягає в обмеженні доступу з використанням служби telnet через порт WAN. Це можна здійснити декількома способами, проте ми можемо порекомендувати наступний. Знаходячись в середовищі програмного забезпечення пристрою Webramp включите режим Visible Computer для кожного активного модемного порту і направте його на помилкову IP-адрес, наприклад, на адресу, що не маршрутизується, такий як 192.168.100.100. Після цього відключите обидва режими Divert Incoming.

Підключення до кабельного модему Motorola через порт 1024 за допомогою telnet


Як повідомлялося в травневому випуску (1998 р.) хворіючи Bugtraq, програмне забезпечення Cable Router компанії Motorola дозволяє кому завгодно підключитися до прихованого порту telnet. Як з'ясувалося, з портом TCP 1024 пов'язаний чекаючий надходження запитів демон telnet, і, використовуючи встановлені за умовчанням призначене для користувача ім'я cablecom і пароль router, через цю службу можна дістати адміністративний доступ до цього пристрою. Хоча на практиці кабельні модеми від компанії Motorola зустрічаються нечасто, автори залишили опис цієї вади, оскільки він наочно демонструє можливість проникнення в систему через такі "несподівані" порти, як TCP 1024. Чи не допускає ваш модем прихований доступ через службу telnet до якого-небудь іншому порту?



:: Реклама ::

>Страница статей


:: Посилання ::

-


:: Рекомендуємо ::

-


 

 

 

 


Copyright © Klab-F 2008