《深度剖析目前电信宽带的种种安全隐患》由会员分享,可在线阅读,更多相关《深度剖析目前电信宽带的种种安全隐患(3页珍藏版)》请在金锄头文库上搜索。
1、深度剖析目前电信宽带的种种安全隐患记得张楚有句歌词:“隐藏的危险,变得很阴险”,最近怎么觉着这首名为“小人”的摇滚是写给网络犯罪的。随着网络化步伐的加快,网络已经成为我们生活中的一部分,宽带对应的安全问题日益突出,大家在谈论宽带问题,往往爱谈论个人用户应该怎样注意保护自己的账号安全,但是安全问题只是个人用户造成的吗,这篇文章从另一个角度,以宽带问题为切入点,通过对某省的电信网上计费网站安全测试及获取电信的管理帐号过程这一案例,深度剖析目前源于电信宽带的种种隐患。 宽带安全问题抛开个人用户的种种问题,从电信角度来说:现有网络硬件设备不能满足现有需求,造成用户认证困难: 假如目前每个宽带账号和电话
2、线路都可以绑定,真正做到一个账号只能在一条线路上使用,似乎目前很多安全问题都可以解决了。但目前的情况不是这样子的:在各种账号安全问题中,非法共享和盗用以及非法用户追踪困难的原因,主要是因为电信运营商没有对宽带用户账号安全提供限制和可靠的保护,无法形成对宽带用户的唯一的标志。市场经济下,投资成本和利润回报影响各个行业的决策,电信也不例外,目前国内整个宽带网络的认证和计费系统主要由 BRAS 设备和 RadiusServer 设备来共同完成,基于当前的城域网,而 VLAN 资源不足致使多个用户共用一个 VLAN 的网络现状。根据目前网络现状开发的 PITP 协议、PPPoE+协议、DHCPOpti
3、on82 等技术就是为了解决这一问题。 当然,这些方式虽然可以解决用户唯一标志问题,但无法在国内统一,原因其一就是成本问题:成本包含两部分:现有设备投资还没有收回,新技术投资收益还不能确定 ;其二就是由于中国的各地发展不平衡,改造起来很困难。对此我们应多给些时间,相信不久就会解决这个问题。从电信角度说,对于盗用账户的解决方法目前主要有两个方法: 解决方法一,MAC 地址绑定解决方案,电信运营商可以在 RadiusServer 上将用户上网计算机的 MAC 地址同用户上网账号进行唯一性绑定,利用 MAC 的唯一性,从而限制上网账号的唯一使用性。 用户在进行 PPPoE 拨号连接的时候,BRAS
4、设备获取用户的上网账号以及上网计算机的 MAC 地址,然后通过标准 Radius 协议将用户账号和 MAC 上报给 RadiusServer,由Radiusserver 完成账号和 MAC 地址一一对应的判别工作。由于 MAC 地址的唯一性,用户无法进行账号的非法共享或漫游,同时盗用的上网账号也无法使用。简单方便,无须改造现有网络结构和 DSLAM 设备,只要 BRAS 设备能根据标准 Radius 协议上报用户账号和用户计算机 MAC 地址给 RadiusServer,这一点目前的 BRAS 设备都能够做到。不过Radiusserver 端的维护工作量很大,需要经常维护庞大的用户 MAC 地
5、址表;而且一旦用户更换电脑或者更换网卡都必须在 Radiusserver 上进行重新绑定,带来额外的工作量和用户投诉;同时对多个用户共用一个 VLAN 上行的组网模式,二层接入网络的用户安全隔离和广播报文控制也需要额外的解决方案。方法二:LAN 或 PVC 绑定解决方案,VLAN 或 PVC 绑定解决方案是在 RadiusServer 上对用户的宽带上网账号同接入用户的 VLAN 或 PVC 进行绑定。在宽带拨号用户进行拨号时,BRAS 设备将接入用户的 VLAN 或 PVC 信息通过标准 Radius 协议上报给RadiusServer,由 RadiusServer 完成用户上网账号同 VL
6、AN 或 PVC 的唯一性鉴别工作。显然,VLAN 或 PVC 绑定解决方案在技术要求和宽带网络建网过程中,将每个用户划分为一个单独的 VLAN 或者 PVC。目前,在实际的组网中,ATM-DSLAM 都采用一个用户一条PVC 方式接入,非常容易实现用户账号同 PVC 的唯一性绑定; 为每个接入的宽带用户分配不同的 VLAN 标志,实现了用户上网账号同 VLAN 唯一性绑定,避免账号公用和盗用问题。用户间通过 VLAN 或 PVC 隔离也可有效地解决二层接入网络广播风暴问题。硬件上的问题不是最令人心的,从发展的角度,可以很快解决,可有些软问题却比较令人担忧。 电信部门的管理的软问题:记得 20
7、00 年初接触到宽带,接宽带时那个电信人员说“宽带密码不存在安全问题,只有你的电话能用”,中国的宽带账户安全观念也在这种观念中成长,这样无形中养成宽带用户的安全意识匮乏,造就了中国的宽带成长中的先天不良。我就以这几天测试的某省的电信网上宽带收费网站为例子,谈谈这个问题:进入该网站后,找到计费业务版块。 这里就暴露了一个历史遗留问题:宽带用户的用户名密码容易被猜解问题: 一直以来电信出于管理方便角度,对用户名很多都以电话号码为基数,加上其他一些简易字母,后边加上诸如163 等的后缀,密码几乎都是电话号码,用通式来表达: 帐户名: 城市名称缩写( 如 bj)+电话号码(如 12345678)+后缀
8、( 如 163) ,密码: 电话号码(注意:此处就是账户里的电话号码)也就是说只要知道某城市一个宽带账号,只需要略微更改下电话号码就可以猜到其他人的账号,帐户名及其他部分都无需改动,密码和电话号码一致。无论手动枚举还是软件实现都异常简单。这个网上营业厅另一个大问题也伴随而生:不是每个电话号码都办理了宽带,当你猜解账号错误时,它并不会采取什么安全策略,限制你输入次数,也就是说,可以无限枚举,而不会封掉你的 ip。这个问题可以说威胁一个城市的所有宽带用户。猜解成功后,进入账号管理界面用户的上网拨号日志及其他资料会暴露隐私。 善于利用的破解者甚至可以利用分析日志避开账号所有者的使用时间而不会被发现:
9、账号被猜解后,破解者可以在“修改密码”处修改密码,令账号的真正主人不能拨号。轻则别人用你的账号拨号,造成你短期不能拨号上网,重则造成你经济损失:为别人的网上消费支付金钱:如目前流行的在线影院 ,在线信息查询,在线充值,在线购物功能都可以通过宽带付费,种种在线业务都有个特点,那就是和电信挂钩:究其原因,最终被消费钱是需要电信中转的,往往最终体现在上网费上,目前国内宽带上网费和电话费是一起交的。当他人盗用你的账号消费不是很多情况下,你看到账单多出来的几块或者几十块钱时,你是很无奈的。想起一种现象:犯罪的“ 成本低“,成本低到受害者没法去告罪犯。而且即使你想告他,找到盗用你账号的人,并拿到证据,其中
10、你的付出的时间和金钱也会令你望而却步,这既是法律的悲哀,更是人性的悲哀,奉劝那些走在犯罪边缘的人:勿以小恶而为之,抛开法律来说,你在盗得点滴利益的同时,你失去的不是单纯金钱可以衡量的。 问题到这似乎可以结束了,可更大的问题还在后边。像电信级的网站,管理后台入口应该十分隐蔽,对于一个动态网站来说,后台管理部分必不可少,由于后台涉及整个站点的安全,因此后台管理部分的入口要十分隐蔽,要采用一套独立前台的模块,采用专用的登陆界面。大型的网站或重要的程序要有很多不同分工的后台管理员来管理,因此每个管理员的管理权限范围和权限之间决不能互相影响。这也是非常重要的特性。这个网站设计就违反这个规则,猜了几次路径
11、后,管理入口就被找到。(由于涉及敏感信息,路径不再给出),然后再根据这个路径,利用离线浏览软件 WebSeizer,在 WebSeizer 的网页首选项设置为这个地址,再把和这个页面相关的所有网页下载下来,在下载层次设置为-1,这样和这个页面相关的所有页面都可以下载下来。这次的收获我非产吃惊,在一个新闻组模块里的admin.jsp.html 网页里我找到了管理员密码,ftp 密码,还有很多其他东西。 最后通过类似步骤,找到了 8 个各个模块的管理员帐号。由于计费系统及其他内容涉及法律问题,比较敏感,不在此叙述了。如果单纯是一个民间网站,我也不会多说什么,这毕竟是一个省级的计费系统。最后联系了相关的管理人员,得到回复是:“谢谢你的通知,我们会修补好相关漏洞”,也没有再多解释什么。 喜欢找“肉鸡” 的朋友如果细心的话会发现这么一个现象:扫描不同国家的同一个数量级的主机,能找到的“肉鸡“ 数量往往和国家对网络安全的重视程度成反比,1000 个主机,中国可能找到 100 个肉鸡,可美国可能最多找到 5 个。这不能不给我们带来些思考,最后引用中国工程院院士、国家 863 计划专项研究专家组组长何德全的话结束本文:“没有信息安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。因此,要把我国的信息安全问题放在全球战略考虑,”
