《完美入侵路由器》由会员分享,可在线阅读,更多相关《完美入侵路由器(15页珍藏版)》请在金锄头文库上搜索。
1、完美入侵路由器完美入侵路由器作者: 紫天星 奔流不息的网络里,Web 绽放着绚丽的色彩、电子邮件呼哧的穿梭网际、语音电话、网络会议、文件传输,各种数据交织错落,形成辉煌的数字世界。在喧闹的数字世界底层,存在一种精致的次序,这种次序决定着数据的选路、异构介质衔接、协议的交互等功能。而这一次序的缔造者正是布满整个网络的路由器。于是,路由器成了数据通信的交通亭,也成为了众多黑帽(Blackhat)争夺的目标之一。Cisco 路由器占据这网络世界的绝对位置,于是安全焦点效应激发了路由入侵与防御而产生的精美艺术。下面我将由浅入深的方式讲述 Cisco 入侵的手段以及防御策略。 【路由器感冒】 路由器从本
2、身的 IOS 来说,并不是一个健壮的体系,因而它偶尔也会让自己感冒发烧。系统感冒发烧起来,抵抗力自然就降低不少。 *IOS 自身欺骗 Cisco 路由器是用 IOS 系统来实现路由的细节功能,因此它是路由系统的灵魂。Show 命令的在线系统方式却为我们打开一个偷窥之门。众所周知,Cisco 路由器中,一般用户只能查看路由器的很少信息。而能进入特权模式的用户才有资格查看全部信息和修改路由。一般模式下,show 的在线帮助系统不会列表所有可用的命令,虽然 75 个 show 的扩展参数只能用于特权模式下(enable),实际上只有 13 个受到限制。这意味着一般用户(非特权用户)可以查看访问列表或
3、其他路由安全相关信息。重要安全相关的 ACL 信息可以被登录路由的非特权用户查看,诸如: #show access-lists #show ip prot #show ip ospf dat#sh ip eigrp top等命令可以在非特权模式下泄露网络敏感信息。通过这些命令,我们能得出路由器配置的大致情况,这对采取进一步的入侵起到辅助作用。不过由于这种方式需要用户已经有一个登录帐户,因此得到这样的信息有一定难度。 *WCCP 暗道 Cisco 在 IOS 11.2 版本中引入 WCCP(Web Cache Control Protocol),为 Cisco 缓存引擎提供协议通信。Cisco
4、缓存引擎为 www 提供透明缓存服务。缓存引擎用 WCCP 来和其他 cisco 路由器通信。路由器把 HTTP 数据发送到缓存引擎主机中。虽然这种方式默认是关闭的。假如使能(enable) 的话,那么 WCCP 本身是没有认证机制的。路由器将会把每一个发送合法缓存引擎类型的 Hello 包的主机认为缓存引擎,于是把 HTTP 数据缓存到那台主机。这意味着恶意用户可以通过这种方式获取信息。通过这种方式,攻击者可以截获站点认证信息,包括站点密码;替代实际 WEB 内容为自己设计的陷阱;通过路由彻底破坏 Web 提供的服务。这种方式,可以完全规避登录烦琐的攻击方法,对 Web 提供全面而且致命的打
5、击。我们既可关闭 WCCP 的启用机制,也可通过 ACL 阻止 WCCP 发送 HTTP 流量给不信任主机来防止这样的恶劣情况发生。 *HTTP 服务的困惑 Cisco 在 IOS 版本加入了远程管理路由的 Web 特性,这对于新羽(newbie)的管理员来,无疑是值得高兴的事情。但引入方便的同时,隐患也随之进入。基于拒绝式服务攻击的 HTTP 的漏洞 Cisco 路由启用(enable)远程 WEB 管理,很容易遭受 DoS。这种DoS 能导致路由器停止对网络请求的响应。这是功能是 Cisco 路由的内嵌功能。但启用这个特性,通过构造一个简单的 Http 请求就会造成 DoS 攻击: /%
6、target=_blankhttp:/% 这种请求导致路由停止响应,甚至引起路由器执行硬重置(hard reset) 。 2.服务器查询的漏洞 Cisco 安全建议小组在 2000 年 10 月 30 日公布了这个漏洞。IOS 11.0 引入通过 Web 方式管理路由。 ”?”是HTML 规范中定义的 CGI 参数的分界符。它也被 IOS 命令行接口解释成请求帮助。在 IOS 12.0 中,当问号邻接于”/” ,URL 解释器就不能正确解释其含义。当一个包括”?/”的 URL 对路由器 HTTP 服务器进行请求,并且提供一个有效的启用口令,则路由器进入死循环。因而引起路由崩溃并重起。如果 ht
7、tp 起用,浏览http:/route_ip_addr/anytest?/ 并且提供特权口令,则可以导致DoS 攻击,导致路由停机或者重启。除了让路由死亡之外,Http 额外提供了一种可怕权限提升的漏洞,如下所论。 Cisco IOS 认证漏洞 当 HTTP 服务器启用并且使用本地用户认证方式。在某些条件,可以绕过认证并执行设备上的任何命令。用户可以对设备完全的控制。所有命令都将以最高特权执行(level 15)。使用 username 和password 的路由设备帐户认证方式,构造如下 URL: http:/router_ip_addr/level/xx/exec/. (注:xx 代表 1
8、6 至 99 之间的 84 种不同的组合攻击,因为路由器硬件类型众多,而 IOS 版本也存在不同,因此针对不同的路由器类型,攻击组合数字不同。 )通过这种方式,攻击者可以完全控制路由并可以改变路由表配置。这种可怕的事实让网管也感到惊悸。这种完整的控制方式将是网站数据通信枢纽的致命一击。 虽然 Http 漏洞带来如此之多的漏洞,但这种漏洞最主要原因是因为启用 http 服务器管理路由的缘故,由于这种管理是种命令行方式的替代物,因此对于熟练的网管来说,没有必要启动这种危害性很大的服务。 #no ip http server 的路由配置也成为时髦的安全配置语句。 【在 SNMP 中行走】谈到 Cis
9、co 路由的安全性,我们就必须涉及到SNMP 这个看似简单,实际扮演着重要角色的协议,正因为它的存在,路由器的入侵变的丰富有趣多了。 *SNMP 基础简介: 每个 SNMP 启用的路由设备都包含一个叫做管理信息模块(MIB) ,这是一种包含简单等级的数据目录结构,在这种树结构中包含设备各种信息。SNMP 基本的命令 GET,可以检索 MIB 的信息,而 SET 命令则可设置 MIB 变量。一种用于监控和管理 CISCO 路由的的软件工具是 MRTG,至于如何配置其用于 Cisco 设备的监控可以参阅 LOG 的怎样在 Windows NT/2K 下安装 MRTG 一文(http:/www.2h
10、ackers.org/cgi-bin/ . rum=7topic=212 ) 。在路由器中配置 SNMP 的方法如下:(conf)#snmp-server community readonly RO(conf)#snmp-server community readwrite RW SNMP 协议通过社区(community)字串的概念赋予对设备 MIB 访问的权限。上例中,设置了只读访问的社区字串 readonly 和可进行读写操作的 readwrite 社区字串。而大部分管理员喜欢使用 public 和 private 设置只读字串和读写字串,疏不知,这样轻易的结果将给网络带来巨大的波动。我
11、们可以在【触及 RouterKit】部分清楚认识到这种危害。通过 SNMP 我们可以方便管理和监控 Cisco 的设备(参阅 Log 文章介绍),同时也给攻击者带来可乘之机。 *Cisco IOS 软件 SNMP 读写 ILMI 社区字串漏洞 ILMI 是一个独立的工业标准,用于配置 ATM 接口。MIB 是一个树形结构,包括操作(只读)数据以及配置(读写)选项。在有漏洞的设备上,通过在 SNMP 请求中指定一个 ILMI 社团字符串,可以访问整个树形管理结构中三个特定部分的:MIB-II 系统组,LAN-EMULATION-CLIENT MIB 以及 PNNI(Private Network
12、-to-Network Interface)MIB。每一部分的子集都可以使用相同的“ILMI”社团字符串修改。MIB-II 系统组包括设备本身的基本信息。能被修改的数目虽然是有限的。例如包括: system.sysContact.system.sysLocation.system.sysName.Cisco IOS 软件版本 11.x 和 12.0 允许使用一个非文档的 ILMI 社区字串未经授权就查看和修改某些 SNMP。其中就包括诸如上面所说的“sysContact“,“sysLocation“,和“sysName“,虽然修改它们不会影响设备的正常操作,但如果意外修改可能会产生混乱。剩下的
13、包含于LAN-EMULATION-CLIENT 和 PNNI MIBs,修改这些可以影响 ATM 配置。如果没有防止未授权使用 ILMI 社团字符串,一台有漏洞的路由器可能会遭受 DoS 攻击。如果 SNMP 请求可以被有漏洞的设备接收,那么没有适当授权,就可以访问某些 MIB,违背了保密性。没有授权就可以修改可读 MIB 的子集,破坏了完整性。而更具有危害性的方法是向 SNMP 端口发送大量的读和写请求。有漏洞的设备,如果没 有防范接收 SNMP 包的措施,就会遭受 DoS 攻击,导致路由重载。 至于如何查看这些的信息,可以参阅【触及 RouterKit】部分。 *Cisco IOS 软件层
14、叠 SNMP 共享社区字串漏洞 Cisco 配置文件中,意外创建和暴露 SNMP 共享字符串,可以允许未授权地查阅或者修改感染的设备。这种漏洞是调用 SNMP 函数中的缺陷引起的。SNMP 利用“community”的标记来划分“object”组,可以在设备上查看或者修改它们。在组中的数据组织 MIB。单个设备可以有几个MIBs,连接在一起形成一个大的结构,不同的社团字符串可以提供只读或者读写访问不同的,可能重叠的大型数据结构的一部分。启用 SNMP,键入“snmp-server”命令时,如果社区在设备上不是以有效的社区字串存在,就会不可预料地添加一个只读社区字串。如果删除它,这个社区字串将会
15、在重载设备时重新出现。缺陷源于SNMPv2 的“通知(informs) ”功能的实现,这个功能包括交换只读社区字符串来共享状态信息。当一个有漏洞的设备处理一条定义接收 SNMP “traps“(陷阱消息)主机的命令时(常规 snmp-server 配置) ,在 trap 消息中指定的社团也还是配置成通用,如果它在保存配置中没有定义。即使社区在前面被删除并且配置在系统重载前保存到存储器,也会发生这种情况。当通过“snmpwalk“(一种检测SNMP 配置正确性的工具),或者使用设备的只读社团字符串遍历基于视图的访问控制 MIB 来检查设备时,就会泄漏读写社团字符串。这意味着知道只读社区字串允许读
16、访问存储在设备中的 MIB,导致信息泄露。而更为严重的是,如果知道读写社区字符串就可以允许远程配置的路由,可以绕开授权认证机制,从而完全控制路由器的整体功能。 题外话:一个被发现漏洞很具有讽刺意味,使用 nmap 等安全扫描工具对路由进行扫描,居然会产生 DoS 的攻击。有兴趣的朋友可以参阅: http:/ . -11-29/2002-12-05/1 【另类攻击】 前面的漏洞综述,似乎我们都在围绕着如何获得路由配置信息而讲述,因为得到一个完整 Router-config,那么我们便掌握了路由的世界。下面的入侵方法则另辟奚径。 *TFTP 的艺术 Cisco 的熟练管理员,一般习惯于 Cisco 免费提供的 TFTP 服务器(http:/ ),而Cisco 培训的书籍总会介绍使用 copy running-config tftp 的命令来保存路由配置文件。于是获得 TFTP 就有可能获得路由配置文件。幸运的是,TFT
