概述
Netipia R7100 DSL路由器出厂后默认没有密码。例如,有590个使用DSL Netopia 路由器的重要的ISP,我们发现其中有290家大约59%的没有密码。一次登录进一台路由器,我们可以对这台路由器的防火规则,静态路由和网络地址映射进行配置。一个简单应用就是在路由器后进行的一次有效的拒绝服务攻击。
对于7100,他还能够被任何主机telnet ,ping ,traceroute。默认情况下,路由器记录telnet连接,但是一个攻击者能清除路由器的日志或者关闭记录功能。很多的日志能够在没有新的日志记录的情况下通过http被恢复。那290个没有密码的路由器,能够被自动软件所控制,在一次DDOS攻击中可以聚集4.5Mbit/s的ICMP带宽。路由器的防火墙被远程更新的能力将会被攻击者用更多的办法所滥用。我们会在附录A讨论详细的攻击过程,在附录B中讲述网络认证过程和结果。
措施:
路由器的所有者:给你的路由器加上个密码。(telnet进入后,选择System Configuration / Security / Add User)如果你有一个连接着其他的Netopia R7100或你的网络的路由器,你要把所有的管理接口都改成没有密码不能登录(在Netopia R9500上默认用户名和密码都是netopia/netopia,这就好像没有密码)
设备制造者:这个在商业上可能是非常普遍的,但是他是非常危险的。你可以限制提供给用户的为了能减少危害对于单一设备所能接受的级别的接口,但是如果你配置数千台路由器时犯了错误,在很多电脑盲的手中将会是最后升级这些机器的。如果你一定需要允许没有密码访问,那么就只允许他在局域网内部登录吧。
ISP和组织:在配置他之前要有安全认证设备。检查你的网络查找受影响的路由器,制定安全策略并且检查这些策略是否通过。反复检查直到所有的受影响路由器都被更正。如果你没有检查你努力制订的认证机制的效力,那么你就是在浪费时间。
讨论:
连接到internet的设备越来越多。像传统的OS销售商,很多设备的制造者经常在用户易用性,投入市场销售时间和安全性之间做出不负责任的决定。这个劝告包含的信息是来自一次对Internet的审计。没有人统计有缺陷的设备所占的百分比,服务提供商和设备制造者可以非常简单的为他们的那些有问题的用户弥补他们的过失。现在我们能说,如果按照现在的策略,每天增加100个用户就会有59个(误差为±5)有缺陷的路有器。
*.net,顺便说一下,不应该装作不知道而去责备用户,在2350个telnet登录到路由器的连接中,有599个(25%,也就是说平均245个路由器每个有2.4个连接)来自*.net的两个主机。*.net的雇员们非常清楚的知道他们的许多客户不需要密码就可以被访问到而且可能使用他们的知识给他们的客户做一些远程的支持。
今天专业的安全人员需要做的就是统计,因为cracker们正在这么做。很多的cracker宁愿在一台特殊的机器上寻找一次攻击,寻找一些由缺陷的机器发动一次特殊的攻击。在Internet上的每一台主机正在被有规律的扫描,包括我们上面的例子中的路由器。这些主机在我们上例说到的那种在一个维吉尼亚ISP路由器创造了telnet连接的第三大数字,在一个星期内在77个路由器上又95个telnet连接(每个路由平均1.2个连接)此外还有5个连接,这5个连接持续还不到17秒。
象DSL路由器这样的设备已经被应用到小型的SOHO环境下,在这里可能运作着一个小型的或者中等的电子商务环境。在SOHO环境下潜在的经济损失要比在一个家庭网络上的损失大的多。在这样的环境中人们很少知道什么安全,也不太可能去找个顾问。自然的,网络设备在接好后成了透明的了。虽然SOHO的用户可能知道他们的机器有被攻击的缺陷,在问题发生前,他们不会考虑他们的设备。
附录 A:
一个Netopia R7100提供的服务:如果你是用nmap,你将会读到
--------------------------------------------------------------------------
# nmap -sT ###.###.##.##
Starting nmap V. 2.3BETA14 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on w###.z#########.###-##.dsl.*.net (###.###.##.##):
Port State Protocol Service
23 open tcp telnet
80 open tcp http
Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds
-------------------------------------------------------------------------
# nmap -sU ###.###.##.##
Starting nmap V. 2.3BETA14 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on w###.z#########.###-##.dsl.*.net (###.###.##.##):
Port State Protocol Service
53 open udp domain
67 open udp bootps
68 open udp bootpc
161 open udp snmp
520 open udp route
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds
-------------------------------------------------------------------------
在这里我们是通过telnet,http和snmp来论述这个漏洞。这篇文章里忽略了Netopia提供的配置路由器的win32应用程序管理接口(可能是通过telnet,http或snmp)。
telnet:
假设 victim.dsl.*.net 是一个没有密码的路由器。
$Content$nbsp;telnet victim.dsl.*.net
你将看到一个漂亮的文本模式接口:
-------------------------------------------------------------------------
Netopia R7100-C v4.3.1
Easy Setup...
WAN Configuration...
System Configuration...
Utilities & Diagnostics...
Statistics & Logs...
Quick Menus...
Quick View...
Return/Enter goes to Easy Setup -- minimal configuration.
You always start from this main screen.
-------------------------------------------------------------------------
从这个屏幕上我们就能看出我们能够配置路由器那些配置。我们可以非常直接的关闭这个路由器,或者添加防火墙规则来阻止某些种类的交换。而后,一个攻击者能设置一个密码,防止受害人修正错误。恢复被破坏的路由的第一步是阅读密码恢复过程,从新设置这个路由器到他的最初没有密码状态。
我们没有研究局域网没有密码的R7100其它的影响,就好像改变internet连接方向从而导致使用局域网内的一个主机攻击网内另一台主机。一个没有密码的R7100可能是局域网内主机的一大威胁。我们没有尝试,但是cracker们很可能会从新配置这个路由器从定向这个网络。
没有密码的R7100是internet内的所有主机的一个威胁,下列菜单选项:
----------------------------------------------------------------------------
Utilities & Diagnostics
Ping...
Trace Route...
Telnet...
Disconnect Telnet Console Session...
Trivial File Transfer Protocol (TFTP)...
Revert to Factory Defaults...
Restart System...
Send ICMP Echo Requests to a network host.
------------------------------------------------------------------------
能够过滤连接(限制,就好像只能telnet到23端口)。他还能够以最大到 1600 byte大小且每秒一次的速率发送包。单独一个路由器的危害是非常小的,但是4个路由器同时操作就能够淹没掉一个56K拨号上网的带宽。350个具有这种漏洞的路由器,在一些自动攻击的软件控制下,可以集中4.5M的ICMP包发向一个目标。虽然这个就是完全的限制TCPl连接启动在一个T-1或者SDSL线路上,但是这个却是一个大的站点最讨厌的。
R7100的日志系统记录telnet通信和其他事件可以帮助你捕获那些人做了什么,
----------------------------------------------------------------------------
Device Event History
Current Date -- 3/4/00 02:20:51 PM
-Date-----Time-----Event------------------------------------------------------
----------------------------------SCROLL UP-----------------------------------
01/28/00 12:20:36 Telnet connection down, address 216.112.32.84
01/28/00 12:16:12 Telnet connection down, address 216.112.32.84
01/28/00 12:15:41 Telnet connection up, address 216.112.32.84
01/28/00 12:15:21 Telnet connection up, address 216.112.32.84
01/28/00 11:18:13 * IP address server configuration error; server disabled
01/28/00 11:18:13 --BOOT: Cold start v4.3.1 ---------------------------------
01/26/00 18:33:47 * IP address server configuration error; server disabled
01/26/00 18:33:47 --BOOT: Warm start v4.3.1 ---------------------------------
01/26/00 18:32:35 IP address server initialization complete
01/26/00 18:32:35 --BOOT: Cold start v4.3.1 ---------------------------------
11/15/99 11:29:10 IP address server initialization complete
11/15/99 11:29:10 BOOT: Reverted to default configuration
11/15/99 11:29:10 --BOOT: Warm start v4.3.1 ---------------------------------
---------------------------------SCROLL DOWN----------------------------------
Clear History...
Return/Enter on event item for details or SCROLL [UP/DOWN] item for scrolling
1 2 下一页 |
安全中国首页 > 文章中心 > 破解技术