How to
Come proteggere il proprio Router da attacchi hacker
Un gateway è un punto di accesso di una rete verso un’altra rete. Se per esempio volete connettere la vostra rete domestica a Internet, qualunque pacchetto debba dirigersi verso un indirizzo esterno al classico 192.168.xxx.xxx della configurazione interna di rete, dovrà passare dal gateway che voi avrete impostato.
I gateway sono classificati secondo il modello OSI che definisce come livello 1, fisico, i ripetitori; livello 2, data-link, i bridge, e livello 3, rete, i router. Noi tratteremo principalmente quest’ultima categoria andando a spulciare nella rete le ultime scoperte a riguardo, analizzando i problemi legati all’uso di tali dispositivi, le tecniche note di attacco e le soluzioni proposte dai vari produttori da adottare per difendersi.
Facciamo una premessa brevissima tanto per ricordare come funziona un router. Esso, sia che debba unire reti locali, sia che debba unire reti geografiche, basa il suo funzionamento sulla tabella di routing.
Viene creata partendo dalle intestazioni del protocollo e, in base ad essa, proietta sulla rete i vari pacchetti seguendo regole precise e decise a monte dall’amministratore.
I pacchetti che arrivano al router vengono immagazzinati in una coda in modo tale da poter essere analizzati uno per uno e prendere la giusta decisione a riguardo, senza il rischio di perdere neppure un dato. Secondo le politiche create nel router, un pacchetto può essere diretto in una direzione piuttosto che in un’altra oppure può essere scartato se non conforme agli standard impostati.
Tutte queste regole vanno sotto il nome di politiche di filtraggio e sono gestite direttamente dall’amministratore di sistema.
Attualmente si considera che circa l’80-90% dei router presenti sul mercato siano affetti, potenzialmente, da qualche baco che può essere sfruttato per guadagnare i privilegi di amministratore del router e quindi per poter cambiare le sue configurazioni.
Ascend — Lucent
Questi prodotti, reperibili su internet all’indirizzo www.lucent.com, fanno parte di un’offerta molto vasta che va da router impiegati in reti geografiche fino ai domestici o reti comunque piccole. I rischi documentati che riguardano queste apparecchiature sono fondamentalmente quattro, e più precisamente:
pipeline password congestion: attaccando il router con continue richieste di telnet si riesce a saturare le sue risorse in modo tale che non reagisca più in seguito a richieste legittime, bloccando così ogni tentativo di accesso esterno di tipo telnet. La serie interessata è quella della famiglia Ascend Pipeline.
Ascend MAX: la MAX è una famiglia di router che sono sensibili ad un attacco telnet portato sulla porta 150, che tramite l’invio di pacchetti TCP con offset diverso da zero, riescono a resettare e riavviare la macchina in modo remoto. La serie interessata è quella Ascend MAX ed il tool per effettuare tali attacchi si può reperire in rete e va sotto il nome di TCPoffset.c
attacco distorted UDP: alcuni router Ascend hanno un difetto nel loro sistema operativo e che permette di bloccarli, spendendo determinati pacchetti di tipo UDP. Il difetto si può riassumere nel seguente modo: mandando un pacchetto UDP come messaggio broadcast sulla porta 9 del router, esso risponde con un altro pacchetto UDP che contiene anche il nome del router stesso. Mandando quindi un ulteriore pacchetto UDP a questa porta si riesce a provocare il blocco del sistema. Questo baco è facilmente esplorabile con in TigerBreach, uno dei tanti tool contenuti nel kit TigerSuite.
attacco TCP offset: i server per terminali Ascend possono essere bloccati tramite l’invio di un pacchetto con offset diverso da zero. Il file ascend.c può essere utilizzato a tale scopo.
3Com
Una delle più grandi società a livello mondiale di produzione di tali hardware. Offre prodotti per tutte le necessità, dalla famiglia all’impresa. È rintracciabile su internet all’indirizzo www.3com.com. I rischi documentati per questa marca di prodotti sono: HiPer ARC DoS: i prodotti della serie HiPer ARC sono vulnerabili ad attacchi di tipo denial of service e risultano in un blocco totale del sistema. Il listato Nestea.c può essere utilizzato dagli amministratori per controllare la sicurezza dei propri sistemi. I prodotti interessati sono quelli con versione 4.1.11 HiPer ARC card login: è un attacco che porta come risultato un accesso non autorizzato alla scheda. Il baco sta nell’account standard adm ed i sistemi potenzialmente craccabili con questa tecnica sono quelli della serie 4.1.x. il baco è un problema molto serio in quanto, al primo accesso alla macchina come adm senza password, il proprietario creerà un proprio account prevosto di login e password. Dopo aver salvato i dati l’account adm senza password rimane attivo e non può più essere cancellato.
master key: su internet si possono facilmente reperire della master key, ovvero degli accoppiamenti username/password che danno accesso al router. I modelli interessati da questo bug sono: CoreBuilder 2500 — 3500 — 6000 — 7000 ed i SuperStack II 2200 — 2700 — 3500 — 9300. Alcuni esempi, giusto per citarne un paio dei più noti sono tech/tech e debug/synnet per i CoreBuilder.
Cabletron — Enterasys
Su www.enterasys.com si può trovare l’offerta di questa casa produttrice di hardware. Sono prodotti rivolti soprattutto alle aziende ed alle reti di grandi dimensioni, lavorando principalmente sopra il Gigabit di banda. I rischi documentati più importanti sono riassumibili come:
CPU Jamming: è un attacco di tipo flooding al quale sono vulnerabili i prodotti della serie SmartSwitch router. Il risultato dell’attacco è un’interferenza nell’elaborazione delle tabelle ed un rallentamento del sistema. Si sfrutta, per tale scopo, l’invio di numerosi pacchetti caratterizzati da IP del tipo 0.0.0.0 e con un TTL uguale a 0. in seguito a questo invio la CPU si intasa rallentando così le operazioni di routing della macchina.
Attacco DoS: i prodotti della serie SSR 800 con firmware 2.x hanno un bug per cui sono vulnerabili ad attacchi di tipo denial of service portato sottoforma di invio ripetuto di richieste ARP. Il risultato è anche in questo caso un rallentamento dei processi di routing.
Cisco
È il più importante produttore mondiale nel campo dei router e delle piattaforme di interconnessioni fra reti, con un’offerta che spazia dalla famiglia alla grande azienda. All’indirizzo www.cisco.com sono reperibili tutte le informazioni utili sui vari prodotti dell’offerta. I rischi documentati per questa marca sono:
Attacchi DoS: portano ad un blocco di sistema o ad un accesso non autorizzato al loro interno. I prodotti potenzialmente vulnerabili a questi attacchi sono: router 2500 – 3660 — 4000 — 7100 — 7200 — 7500, i server di accesso AS5200 — AS5300 — AS5800, il system controller SC3640 e gli access path LS-3 — TS-3 — VS- 3. un invio di pacchetti alla porta syslog (514 UDP) provoca il blocco di alcuni sistemi, inoltre una scansione ENVIRON può, in determinate circostanze, bloccare il sistema. L’attacco che più spesso viene portato è quello di tipo TCP SYN contro porte diagnostiche della macchina. E’ un attacco noto col nome di Pepsi ed il listato, pepsi.c, può essere rintracciato in rete.
IOS password cracker: su alcuni modelli, utilizzando un listato tipo crackIOS.pl, si può riuscire a raccare le password di sistema garantendosi così l’accesso alla configurazione.
Attacco UDP scan: alcuni router con sistema operativo 12.0 possono essere bloccati da una scansione UDP sulla porta 514. i modelli interessati sono quelli che adottano il software IOS 4000 (C4000-IK2S-M) versione IOS 12.0 ed il software IOS 2500 con versione 12.0
Intel
Da tempo Intell non fa solo microprocessori, e da poco è entrata anche nel mercato dei router, con offerte rivolte soprattutto alla media utenza. Il sito di riferimento è www.intel.com. I rischi documentati per questa famiglia di prodotti sono: §
Attacchi DoS: scansioni remote effettuate con pacchetti ICMP di grandi dimensioni oppure con pacchetti ICMP frammentati possono portare a un accesso non autorizzato al sistema oppure ad un suo blocco. La serie di prodotti colpiti sono i router Intel Express. Su internet è reperibile il listato isic.h che contiene anche un frammento di codice adatto allo sfruttamento di tale bug.