Приложение solar winds

Если хакеру удастся определить имя сообщества SNMP, инвентаризация сетевых ресурсов компьютеров сообщества не вызывает никаких проблем. Для решения этой задачи можно воспользоваться пакетом SOLARWINDS, включающем в себя самые разнообразные утилиты для сбора сведений о локальной сети.

На Рис. 13 представлен диалог браузера MIB из пакета SolarWinds 2001 Engineer's Edition, отображающий записи базы данных MIB компьютера А1ех-3, входящие в раздел сведений об учетных записях и общих ресурсах компьютера.

Данные, отображаемые браузером МIB, аналогичны извлеченным из базы SAM с помощью утилиты LC4. Таким образом, база MIB не менее информативна, чем база SAM, за тем только исключением, что в ней отсутствуют пароли учетных записей.

Имеется и другая утилита для просмотра ресурсов сетевых хостов, называемая IP Network Browser, которая представляет информацию в базе данных МIВ инвентаризуемой сети в более доступной форме (см. Рис. 12).

Рис. 12. Просмотр базы М1В браузером IP Network Browser

Вся проблема в использовании базы МIB для целей инвентаризации состоит в получении имени сообщества, которое по сути представляет собой пароль для доступа к информации в базе МIB. Эта задача вовсе не безнадежна, поскольку средства пакета SOLARWINDS 2001 Engineer's Edition включают утилиты SNMP Brute Force Attack и SNMP Dictionary Attack для взлома доступа к базе MIB подбором имени сообщества, выполняемого, соответственно, прямым перебором символов и путем словарной атаки. Успех такой атаки основан на следующем обстоятельстве.

Очень часто [3] для именования сообществ SNMP администраторы, входящие в категорию «ламеров», используют установленные по умолчанию имена public, или private, или их вариации. Опять-таки сошлемся на [3], где утверждается, что такая порочная практика носит массовый характер. Поэтому утилиты SNMP Brute Force Attack и SNMP Dictionary Attack для взлома доступа к сообществу SNMP как раз и учитывают такую особенность всех этих ламеров. Они позволяют хакеру вводить начальные имена сообщества SNMP типа public или private в стартовую строку поиска с автоматической генерацией вариантов испытуемых строк. Это позволяет быстро находить имена типа public1, public2 и тому подобные, основанные на стандартном имени public. Небольшое экспериментальное исследование указанных утилит взлома позволяет сделать вывод — шансы на успех инвентаризации сети взломом базы MIB достаточно высоки.

Покажем, как работает утилита SNMP Brute Force Attack, взломав имя сообщества SNMP нашей экспериментальной сети с помощью такой последовательности действий.

• Запустите утилиту SNMP Brute Force Attack. На экране отобразится окно SNMP Brute Force Attack (Атака взлома SNMP грубой силой) (Рис. 13).

Рис. 13. Рабочее окно утилиты для взлома SNMP грубой силой

• Щелкните на кнопке Settings (Параметры). На экране появится диалог SNMP Brute Force Attack References (Параметры взлома SNMP грубой силой), представленный на Рис. 14.

Рис. 14. Диалог для настройка параметров атаки

• В зависимости от своих предпочтений установите параметр Try community string up to 6 character long (Проверять строки имен сообщества длиной до б символов включительно).

Этот параметр очень важен, поскольку определяет объем поиска; при его установке не следует увлекаться, и всегда нужно помнить, что трудозатраты на взлом доступа к информации всегда должны соответствовать ценности информации. (Это основной принцип криптоанализа - а то ведь есть люди, которые готовы сутками долбить вход в чужой почтовый ящик, чтобы потом сделать с ним какую-то мелкую гадость. Интересно, кто оплачивает им время, проведенное в Интернете?) Учтите также, что в мире полным-полно компьютеров с именем сообщества SNMP, заданным по умолчанию - public, private и их производными - не перевелись еще ламеры!

• Так что установите, для начала, параметр Try community string up to 6 character long (Проверять строки имен сообщества длиной до 6 символов включительно) в 7 символов, сдвинув ползунок чуть вправо.

• Откройте вкладку Community string (Строка имени сообщества); ее содержимое представлено на Рис. 15.

Рис. 15. Задание начальной строки для поиска имени сообщества SNMP

• В поле Starting Community String (Начальная строка имени сообщества) введите publica - тогда поиск начнется с 7-ой буквы а в конце слова.

• Щелкните на кнопке ОК и заройте диалог настройки параметров атаки.

• В диалоге SNMP Brute Force Attack (Атака взлома SNMP грубой силой) щелкните на кнопке Attack (Атака).

• Наблюдайте за ходом поиска - на экран в строке Current Community String (Текущая строка поиска) будут последовательно выводиться тестируемые имена. В случае успеха отобразится сообщение.

Чтобы отразить такую атаку на протокол SNMP, следует закрыть доступ к портам 161 и 162, используемым агентами и консолью SNMP, прибегнув к средствам фильтрации TCP/IP, либо средствами аплета Службы (Services) компьютера Windows 2000/XP, чтобы отключить на хосте службу SNMP. В любом случае имя сообщества SNMP должно быть достаточно сложным для взлома методом грубой силы, поскольку имя сообщества служит фактически паролем доступа к агенту SNMP.

Заключение

Установленные на сетевом хосте средства удаленного управления, как от независимого производителя (программа pcAnywhere), так и встроенные (служба SNMP) могут стать настоящими воротами для хакера, поскольку очень часто после инсталляции этих средств их система защиты не настраивается должным образом (если вообще настраивается). Это касается практически всех общераспространенных приложений удаленного управления, особенно ранних версий [3]. Хотя новейшая на момент написания этих строк программа pcAnywhere значительно более защищена от локальных и удаленных атак, направленных на извлечение паролей доступа к хостам, все-таки, как мы видели, у хакеров имеются достаточно надежные пути для преодоления преград.

Чтобы выявить компьютер с установленным приложением удаленного управления, можно воспользоваться средствами протокола SNMP, обеспечивающего работу агентов и консоли SNMP управления ресурсами компьютера. Браузер IP Network Browser, рассмотренный в этой главе, надежно идентифицирует открытые порты программы удаленного управления pcAnywhere, после чего хакер может воспользоваться различными средствами для удаленного взлома доступа к хосту pcAnywhere.

Не следует пренебрегать также возможностями SNMP для решения общей задачи инвентаризации атакуемых систем. Средства защиты агентов и консоли SNMP, встроенные в систему Windows, весьма примитивны и не обеспечивают должной безопасности для компьютеров сообщества SNMP. Для хакера это предоставляет обширные возможности по инвентаризации ресурсов сетевых хостов и последующих попыток взлома доступа к компьютерам.

Что касается антихакеров, то здесь, как везде и всюду, следует не забывать об основном правиле безопасности - пароли доступа к хостам pcAnywhere должны быть достаточно сложными, чтобы их нельзя было взломать простой словарной атакой или даже простым перебором. С другой стороны, описанную выше атаку на хост pcAnywhere можно предотвратить, просто ограничив доступ к папкам компьютера, хранящим настроечную информацию. Поэтому настройка системы защиты Windows - наилучший способ предотвращения атак на средства удаленного управления.