Иллюстрированный самоучитель по Secure Web

       

Установленные по умолчанию учетные записи


Одним из чаще всего обнаруживаемых изъянов является установленные по умолчанию имя пользователя и пароль. Практически все разработчики поставляют на рынок сетевые устройства, позволяющие получить с помощью подобной учетной записи доступ на уровне пользователя, а иногда — и администратора (подробнее см. табл. 10.3). Поэтому вашим первым шагом при настройке таких устройств должно быть немедленное удаление таких учетных записей.

Таблица 10.3. Стандартные пользовательские имена и пароли, которые необходимо изменить



Устройство

Имя

Пароль

Уровень

Маршрутизатор Bay

User Manager

<нет> <нет>

Пользователь Администратор

Коммутатор Bay 350T Bay SuperStack II 3COM

NetlCs Security

admin

 read

 write 

debug 

tech

 monitor

 manager 

security

<нет> Security

synnet 

synnet

 synnet

 synnet

 tech 

monitor

 manager 

security

Администратор Администратор

Администратор Пользователь Администратор Администратор

Пользователь Администратор Администратор

Cisco

(telnet)

  (telnet) 

enable 

(telnet)

с (Cisco 2600)

CISCO

cisco 

cisco routers

Пользователь

 Пользователь

 Администратор

Shiva

Webramp Motorola CableRouter

root 

Guest

wradmin 

cablecom

<нет>

 <нет>

trancell

 router

Администратор Пользователь

Администратор

 Администратор

Коммутаторы 3Com

Коммутаторы 3Com очень часто имеют несколько встроенных по умолчанию учетных записей с разным уровнем привилегий — admin, read, write, debug, test и monitor. Если эти встроенные учетные записи окажутся незащищенными, то с их помощью злоумышленник сможет получить пользовательские или даже административные привилегии.

Контрмеры: защита встроенных учетных записей коммутаторов 3Com

Для того чтобы изменить пароль, введите с консоли устройства команду system password.

Маршрутизаторы Bay




Маршрутизаторы Bay имеют пару установленных по умолчанию учетных записей, некоторые из которых к тому же по умолчанию не защищены паролем. Поскольку при настройке операционной системы удобно пользоваться учетными записями User и Manager, в которых пароль отсутствует, то довольно часто администраторы оставляют эти учетные записи незащищенными. Это позволяет злоумышленнику с помощью утилиты telnet получить прямой доступ к устройству и через FTP переписать на свой компьютер конфигурационные файлы. Например, на многих коммутаторах Bay 350T имеется учетная запись NetiCs без пароля, которая представляет собой прекрасный "потайной ход" в систему. 

Контрмеры: защита встроенных учетных записей маршрутизаторов Bay

  •  Установите пароли для учетных записей User и Manager.


  •  Отключите поддержку служб FTP и telnet.


  •  Добавьте список ACL, чтобы разрешить подключение с использованием FTP и telnet только строго определенным узлам.


  •  Ограничьте возможности учетной записи User, запретив использование протоколов FTP, TFTP и telnet.


  • Пароли маршрутизаторов Cisco

    На разных моделях Cisco неоднократно обнаруживали различные пароли, используемые по умолчанию для доступа с виртуального терминала vty, включая такие легко угадываемые, как cisco и cisco routers. Кроме того, на некоторых моделях были обнаружены установленные по умолчанию пароли cisco, позволяющие получить удаленный доступ к устройству. Как вы понимаете, такие пароли нужно как можно быстрее заменить на более сложные. Наконец, на некоторых моделях Cisco 2600, произведенных до 24 апреля 1998 года, по умолчанию использовался пароль, состоящий из одной-единственной буквы с.

    Контрмеры: защита маршрутизаторов Cisco

    Даже если вы измените все обнаруженные легко угадываемые пароли, установленные производителем по умолчанию, это вовсе не означает, что ваше устройство Cisco надежно защищено. Поскольку компания Cisco не применяет мощных алгоритмов шифрования паролей, используемых для доступа с терминалов vty, то, обнаружив их тем или иным способом, злоумышленник сможет без труда взломать эти пароли. Несмотря на это, каждый владелец маршрутизатора Cisco должен как можно скорее выполнить следующие операции.



  •  Убедитесь в том, что установлена служба шифрования паролей (service password-encryption).


  •  Выполните команду enable password ") <пароль>, чтобы зашифровать пароль vty хотя бы с помощью слабого алгоритма шифрования Cisco (это все же лучше, чем передача пароля в виде незашифрованного текста).


  • Устройства Webramp

    Джеймс Игелхоф (James Egelhof) и Джон Стенли (John Stanley) установили, что устройства Webramp Entre (в версии ISDN) имеют установленные по умолчанию пользовательское имя wradmin и пароль trancell. Эта учетная запись предоставляет злоумышленнику доступ к устройству на уровне администратора, позволяя вносить изменения в конфигурацию, изменять пароль и т.д. Вполне вероятно, что подобные недостатки имеются и в других продуктах Webramp. 

    Контрмеры: защита устройств Webramp

    В данном случае самый простой метод защиты заключается в изменении административного пароля. Более сложное решение, предложенное Игелхофом и Стенли, заключается в ограничении доступа с использованием службы telnet через порт WAN. Это можно осуществить несколькими способами, однако мы можем порекомендовать следующий. Находясь в среде программного обеспечения устройства Webramp включите режим Visible Computer для каждого активного модемного порта и направьте его на ложный IP-адрес, например, на немаршрутизируемый адрес, такой как 192.168.100.100. После этого отключите оба режима Divert Incoming.

    Подключение к кабельному модему Motorola через порт 1024 с помощью telnet

    Как сообщалось в майском выпуске (1998 г.) бюллетеня Bugtraq, программное обеспечение Cable Router компании Motorola позволяет кому угодно подключиться к скрытому порту telnet. Как выяснилось, с портом TCP 1024 связан ожидающий поступления запросов демон telnet, и, используя установленные по умолчанию пользовательское имя cablecom и пароль router, через эту службу можно получить административный доступ к этому устройству. Хотя на практике кабельные модемы от компании Motorola встречаются нечасто, авторы оставили описание этого изъяна, поскольку он наглядно демонстрирует возможность проникновения в систему через такие "неожиданные" порты, как TCP 1024. Не допускает ли ваш модем скрытый доступ через службу telnet к какому-либо другому порту?


    Содержание раздела