by Vandal (LoF)
1: IP Únos
Pro získání přístupu je třeba vytvořit packet s uneseným zdrojem IP adresy.
Tyto exploity založené na autentifikaci podle IP adresy vedou neo-
právněného uživatele k získání přístupu root v cílovém systému.To je možné do cesty paketu přes filtrující směrovač cesty firewallu, pokud není nakonfigurován filtrovat přicházející pakety, jejichž zdrojová adresa je v lokální doméně. Je důležité všimnout si, že popisovaný útok je možný i když ani jedny odpovídající pakety nemohou dojít k útočnikovy .
Příklady konfigurací, které jsou potenciálně zranitelné ,obsahují:
- směrovač externí sítě podporující vícenásobné vnitřní rozhraní
- směrovače se dvěma rozhraními tak podporují podsíť na vnitřní síti
- proxy firewally kde proxy aplikace používají zdroj IP adresy pro autentifikaci
IP spoofing útoky jsou běžně k vidění v podobně popisovaných dvou písemnostech: 1) "Bezpečnostní problémy v TCP/IP Protokol Suite" od Steva Bellovina, publikováno v _Computer Communication Review_
vol. 19, no. 2 (April 1989) strany 32-48; 2) "Slabina ve 4.2BSD
Unix TCP/IP Software" od Roberta T. Morisse. Oba tiskopisy jsou dostupné u anonymního FTP serveru z
ftp.research.att.com:/dist/internet_security
Bellovinův tiskopis: ipext.ps.Z
Morrisův tiskopis: 117.ps.Z
Služby, které jsou napadnutelné IP spoofing útokem zahrnují
SunRPC & NFS
BSD UNIX "r" příkazy
, všechno ovinuto obalem TCP démona - místo závislosti; ověř tvoji konfiguraci X Windows jinými aplikacemi, takového použití zdroje IP adresy k autentifikaci
Nástroj únosu - Hijacking tool
Jedenkrát vetřelci dostanou přístup root na systém ,mohou používat nástroj k dynamicky upravenému UNIX jádru. Toto uzpůsobení jim dovoluje unést existující terminal a přihlášení připojením z jakéhokoliv uživatele do systému. V přejímce existujícího spojení, mohou vetřelci obejít někdejší hesla a další odolné autentifikace schematickým odposloucháváním připojení po autentifikaci je dokončeno.
Například, vzdálený uživatel se připojí ke vzdálenému místu přes login
(přihlášení do systému) nebo terminal sezení. Vetřelec unese spojení poté co uživatel dokončil autentifikaci ke vzdálené lokaci; vzdálená lokace je nyní kompromisem. (Podívej se do Sekci 1 na příklad o napadnutelné konfiguraci). Aktuálně, ten nástroj je zejména používán na SunOs4.1x systémech. Nicméně, rysy systému, které dělají tento útok ,nejsou vhodné jednoznačně k SunOs.
2: Dopad
Nynější vetřelecká aktivita v únosu zdroje IP adresy může vést do neoprávněného vzdáleného přístupu root k systémům za filtrující část směrovače(routeru) firewallu. Poté co získá přístup root a přejme existující terminal a login(přihlášení do systému) spojení, mohou vetřelci získat přístup ke vzdáleným hostitelům.
3: Řešení
A: Detekce
IP spoofing
Jestliže monitorujete packety používané sítí - monitorovacím softwarem jako netlog, vyhledávající paket tvého externího interface jenž má oba jeho zdroje i cíl cesty IP adresy ve vaší lokální doméně.
Jestliže naleznete jednoho, jste běžně pod útokem. Netlog je k dispozici na anonymním FTP serveru
net.tamu.edu:/pub/security/TAMU/netlog-1.2.tar.gz
MD5 checksum: 1dd62e7e96192456e8c75047c38e994b
Další cesta k odhalení IP spoofingu je v porovnání procesu účtů připojení(logs) mezi systémy vaší vnitřní sítě. Jestliže útok IP spoofingu má uspět na jednom z vašich systémů, můžete dostat vstup log na mašině oběti vystavené vzdálenosti, přístup; na zřejmě zdrojový počítač ,kde bude neodpovídající vstup pro zahájení takového vzdáleného přístupu.
Nástroj únosu - hijacking tool
Když se vetřelec připojí k nějakému existujícímu terminálu nebo login připojení, uživatelé mohou objevit neobvyklou aktivitu ,jako příkazy objevující se na jejich terminálu, prázdná windows již nereagují na jejich příkazy. Povzbuďte vaše uživatele informacemi o jakékoliv podobné aktivitě. Navíc, věnujte zvláštní pozornost těm připojením,které jsou dlouho nečinné. Pokud je útok dokončený, je těžké ho objevit. Nicméně, vetřelci mohou zanechat zbytky jejich nástrojů. Například: Můžete nalézt jádro toku modulu navržené ke klepání do existujícího TCP spojení.
B: Prevence
IP spoofing
Nejlepší metoda prevence IP spoofingu je instalace filtrujícího směrovače (routeru) s omezením vstupu k vašemu externímu interface (známý jako vstupní filtr) od neposouzeného packetu, pokud má během toho dostat zdrojovou adresu z vaší vnitřní sítě. Navíc, měli byste filtrovat odcházející packety , ty dostanou adresu odlišnou od vaší vnitřní sítě za účelem předejití zdroje IP spoofig útoku vznikající z vašeho místa. Následující prodavač dostane oznámení podporující tento sloupek: Bay Networks/Wellfleet routers, verze 5 a novější
Cabletron - LAN Secure
Cisco - RIS software all releases verze 9.21 and novější
Livingston - všechny verze
Pokud potřebujete více informací o vašem routeru nebo firewallu, kontaktujte okamžitě vašeho prodavače. Jestliže prodavačův router nepodporuje filtrování příchozí strany interface nebo jestliže tam je zpoždění v začlenění rysu do vašeho systému, může filtr unášet IP packety použitím druhého routeru mezi vaším externím interfacem a vaší m vnějším spojením. Konfigurujte tento router blokováním, k odcházejícímu interface připojte váš původní router, všechny pakety dostanou zdrojovou adresu vaší interní sítě. Pro tyto účely můžete použít filtrující router nebo UNIX system se dvěma rozhraními(interface) podporující paketový filtr.
Zápis: Vyřaďte zdroj směrování v routeru ne- nechrání vás od útoku,ale to je ještě dobré k zabezpečení navštívení.
Nástroj únosu - hijacking tool
Neexistuje specifická cesta k zabránění použití nástroje, než předcházením vetřelcům především z dobývání přístupu root. Jestliže máte zkušenost s kompromisem root, mrkněte na Sekci C - generální instrukce , jak obnovit.
C: Zotavení z UNIX root kompromisu
1: Odpojte se ze sítě nebo operačního systému v single-user módu běhěm zotavení.Tak to bude držet uživatele a vetřelce od přístupu do systému.
2: Verifikujte systémové, binární a konfigurační soubory pro případ prodavačova média (nespoléhejte se na spolehlivé označení aktuálním časem informace k poskytnutí nějakého údaje modifikace). Nevěřte jakékoliv verifikaci od nástroje jako např. cmp(1) založené na kompromisu systému . protože to ,velice, může být upravené vetřelci.
Navíc, nevěřte výsledku standartnímu UNIX sum(1) programu - vetřelec mohl upravit systémové soubory takovým způsobem, že kontrolní součet zůstane stejný. Nahraďte upravené soubory ze zakoupeného média a nikoliv ze zálohy.
-- nebo --
Reloudujte váš systém ze zakoupeného média
3: Proledejte systém pro nové nebo upravené root soubory.
find / -user root -perm -4000 -print
Pokud používáte NFS nebo AFS systémové soubory , použijte ncheck k hledání lokálních sys. souborů.
ncheck -s /dev/sd0a
4: Změňte hesla na všech účtech
5: Nevěřte vašim zálohám pro další naložení jakéhokoliv souboru užívaným root. Pokud nechcete soubory změněné nějakým vetřelcem.