Připravte se na rychlý smrtelný útok

Opatření nutná k odvrácení DoS Řekněme si to hned na začátku: Kompletně zabezpečit vaši síť proti útoku způso...


Opatření nutná k odvrácení DoS
Řekněme si to hned na začátku: Kompletně zabezpečit vaši síť proti útoku
způsobujícímu odepření služeb (DoS denial of service) je nemožné. Jeho
odvrácení však možné je máte-li silnou strategii obrany a chápete do hloubky
principy různých typů útoků.
Vzpomínám si na oblíbený žertík z dob mého pobytu na univerzitě, k němuž
patřilo zaklínění závory zamčených dveří v zárubni pomocí pencí nacpaných do
mezery mezi dveřmi a futrem. To zajišťovalo, že právoplatný obyvatel nemohl
otočit klíčem v zámku, což vypadalo neuvěřitelně směšně, dokud se to
nepřihodilo mně. Toto byla primitivní forma odepření služby.
V prostředí podnikového byznysu s sebou DoS (denial of service odepření služby)
zajisté přináší mnohem vyšší rizika. Dnes jsou útoky typu DoS stálou hrozbou
pro vedoucí pracovníky a manažery IT, zejména pro ty, kteří nesou odpovědnost
za Weby přitahující pozornost veřejnosti a jsou kritické pro úspěch firemních
strategií.
Nevinná hra?
Mnoho lidí se již pokoušelo obhájit akce těch, kdož připravují DoS, srovnáváním
jejich útoků s neškodnými dětskými šprýmy, například zvoněním na domovní zvonky
nebo ztřeštěnými telefonními hovory. Rozdíl je v tom, že máte možnost volby,
zda budete ignorovat zvonění zvonku u dveří nebo telefonu (a já to často
dělám). Internetový server nemá žádnou jinou možnost, než reagovat na síťové
dotazy, a jeho neschopnost může doslova přivodit zánik společnosti.
Útoky DoS jsou děsivé, protože obvykle nevíte, kdo je nepřítel, a často ani
netušíte, v jakém nebezpečí se vaše systémy nacházejí. Avšak snad ještě horší
je, že jste nyní mezi dvěma mlýnskými kameny, když na jedné straně potřebujete
chránit byznys své společnosti a zastavit únik zisku a na druhé straně máte
stejně nepřekonatelnou potřebu dopadnout toho syčáka, zejména tehdy, chcete-li
zdokumentovat případ, jenž by skončil u soudu.
Nejlepší možností, jak se tomuto dilematu vyhnout, je především zabránit
"dosovým" útočníkům provádět jejich rejdy. Zabránit jejich úspěchu vyžaduje
solidní obrannou strategii, která počítá jak s vnitřními, tak i s vnějšími
hrozbami.
Znát toho, kdo na vás útočí
Samozřejmě, ne všechny problémy typu DoS jsou útoky. Některé nehody jsou v
decentralizovaném prostředí, jakým je Internet, kde porušená směrovací tabulka
může během pár minut způsobit chaos, neodvratné.
Interní sítě čelí podobným problémům, ačkoliv dobře navržená podniková síť bude
rozdělovat provoz takovým způsobem, že je možné podobné problémy snadno
izolovat.
Skutečné útoky ovšem mohou přijít jak zevnitř, tak i z okolí podniku. Ačkoliv
se tato diskuze zaměřuje na externí protivníky, jakýkoliv plán na zmírnění
účinků incidentu způsobeného DoSem musí rovněž počítat s možností interní
hrozby.
Avšak navzdory riziku útoku zevnitř největší hrozba pro bezpečnost společnosti
používající Internet spočívá v darebáctví nezletilých hochů. (Ačkoliv zájem o
počítačové sítě a pochopení jejich činnosti mezi mladými ženami vzrostl,
statistiky stále ukazují, že počítačový hacking je především mužskou
kratochvílí.)
Zcela nešťastnou věcí dnes je, že existují nástroje, které umožňují relativně
neznalým uživatelům počítačů spouštět útoky z rodinného doupěte. Počet těchto
"dětí skriptu" každým dnem roste, takže situace kolem DoS se pravděpodobně
ještě o něco zhorší, než snad jednoho dne dojde ke zlepšení.
Abeceda DoS
Útoky typu DoS zahrnují mimořádně široké spektrum metod. Tři nejpopulárnější z
nich se týkají znemožnění poskytování služeb, monopolizace nebo přivlastnění si
prostředků a sabotáže dat.
Drastické útoky DoS zahrnují změny konfigurace nebo fyzická napadení síťových
zařízení. Proti fyzické hrozbě je obvykle nejsnadnější obrana. V tomto případě
obvykle dobře fungují tradiční bezpečnostní principy brány, hlídači a zbraně.
Útoky DoS, jejichž kolébkou je síť, získaly půdu pod nohama asi tak v loňském
roce, kdy jim pomohla nová metoda distribuce útoku mezi několik serverových
hostitelských systémů. Ta zvyšuje pravděpodobnosti úspěšného průniku při
využití kumulovaného procesního výkonu a síťových prostředků uchvácených
hostitelů.
Tyto útoky DDoS (distributed denial of services distribuovaná odepření služeb)
se staly známými v roce 1999, kdy útočníci použili nástroje "Stacheldraht"
(německý výraz pro ostnatý drát) a Tribe FloodNet, aby odstavili některé
nejoblíbenější internetové cíle včetně Yahoo a eBay. V obou případech nástroje
používají maskovaný přístup k útoku, jehož cílem je zdolání cílových hostitelů.
Útoky DoS, ať v jedné, či druhé formě, jsou ovšem už nějakou dobu mezi námi a
teď nemám na mysli jen poslední měsíce nebo několik let: klasickým příkladem je
rušení radaru nebo rádia. Protože se však Internet stává hlavní složkou
ekonomické prosperity, jakékoliv narušení jeho provozu působí jako obětí
škrtiče. Zde je několik nejběžnějších způsobů, které dosoví vandalové s oblibou
používají, když vám jdou po krku:
Hogging (přivlastnění si, zabrání pro sebe) je klasickou metodou útoku, jenž
obvykle znamená obejití normálních kontrolních mechanismů operačního systému, s
cílem zpracovávat na hostitelském počítači program, jenž spotřebovává systémové
prostředky tak dlouho, dokud operační systém neselže a nezpůsobí zhroucení
hostitele.
Dobrým příkladem hoggingu je internetový červ Roberta Morrise z roku 1988 (a to
navzdory skutečnosti, že je obecně klasifikován jako trojský kůň, vzhledem k
tomu, že využívá chybu v zasílání pošty). Morris měl v záměru nechat svůj
program nepozorovaně běžet několik dnů či týdnů, avšak hrubá chyba návrhu
způsobila jeho příliš rychlou replikaci, čímž dostal na kolena cíle svého
poštovního serveru řádově během několika minut.
Protože tento druh útoku je již dlouhou dobu znám, mnoho operačních systémů má
v sobě proti němu elementární obranná opatření. Naneštěstí, jak potvrdí
jakýkoliv správce Windows NT, doplňování vlastností do operačního systému
zvyšuje počet bezpečnostních děr, a tak nemůžete počítat s tím, že "betonování"
systému bude projektem, jenž někdy skončí.
Nepřátelské applety jsou formou útoků DoS, jejichž cílem jsou spíše uživatelé
než servery. Útok postavený na appletu se v podstatě zmocní počítače
prostřednictvím webového prohlížeče, jenž implicitně povoluje spouštění
appletů. Podniky pak mohou posílit politiku odmítání appletů a prostřednictvím
jejího dodržování vytvořit bariéru proti tomuto typu útoku, to však nemusí
vyvážit vzdání se výhod appletové technologie.
Mailové bomby jsou jednoduché a brutální: Přetíží poštovní server obrovským
objemem balastního provozu. Samo sebou se rozumí, že i ten největší poštovní
server má své limity, a tak žádné poštovní systémy nejsou vůči tomuto typu
útoku imunní. (Poznámka pro vandaly: Náš poštovní server vám opravdu nestojí za
námahu. Jděte si teď dodělat domácí úkol z algebry, prosím.)
V těchto případech možná budete chtít použít filtry pro identifikaci a
odmítnutí podezřelého provozu, berete však na sebe riziko nepřijetí legitimní
komunikace.
Ping of Death (co třeba překlad: Zvonění umíráčku?) využívá utilitu PING
(Packet InterNet Groper) prostřednictvím vysílání testovacího paketu s ilegální
velikostí. Ačkoliv je tento způsob útoku nejobvykleji pozorován v prostředích
IP, neexistuje nic, co by mohlo zabránit provedení téhož útoku např. s pomocí
IPX. Nadměrně velký paket může způsobit zhroucení nebo indukovat síťové
problémy v nechráněných systémech.
SYN flooding (Záplava SYN) je specifická pro TCP (Transmission Control
Protocol) a pokouší se přivlastnit si všechny možné síťové spoje, a tak odepřít
legitimní přístup provozu k síťovým službám. Tento útok využívá funkce
synchronizačního paketu SYN (SYnchronize sequence Number), jenž zahajuje
konverzaci mezi dvěma hostiteli.
Prostřednictvím zfalšování identity odesílatele paketu a následného zaslání
přívalu paketů, na které cílový server musí odpovědět, útočník dostane těmito
odpověďmi server do úzkých. Server není k dispozici řádným uživatelům s
výjimkou mála těch šťastných, kteří proklouznou skrz falešné požadavky.
Živé mrtvoly (Zombies) jsou počítače, které byly zmanipulovány útočníkem, a
jsou používány (nebo drženy v záloze) pro útok. Útoky DoS, které byly loni tak
nápadné, použily živé mrtvoly ke generování natolik velkého provozu, aby
rozložil činnost nejnavštěvovanějších Webů.
Co je možné dělat?
Naneštěstí si jen málo podniků uvědomuje, že nejsou imunní proti DoS, dokud
chuligáni nerozpoutají peklo. Dokonce i když je útok zaměřen striktně na vaše
síťové spoje a jeho cílem není proniknout k citlivým datům společnosti, je
stále příliš pozdě na implementaci obrany.
V první chvíli může někoho napadnout, že nejlepší obranou je útok. A proto se
pustí do útočníka. Odveta se ale silně nedoporučuje, protože v této horké
chvilce si nemůžete být jisti, že ten, kdo na vás útočí, nepoužívá identitu
někoho jiného jako zástěrku. A jakýkoliv síťový protiútok je na nejlepší cestě
porušit stejné zákony, které chcete použít pro usvědčení pachatele, pokud to
zajde až tak daleko. Nejde o porušení domovní svobody, a vy nemáte právo
střílet zpátky.
Obvykle existují některé věci, které můžete udělat předem, abyste
minimalizovali svoji zranitelnost. Pokud nemáte dobrý firewall, kterému dobře
rozumíte, sežeňte si jej. Dobré porozumění je klíčem. Příliš mnoho pracovišť
instaluje firewall, avšak nevyškolí klíčové zaměstnance v jeho konfigurování a
používání.
Obranné prostředky
Díky bohu, jakýkoliv dnešní slušný firewall koupíte nakonfigurovaný tak, aby
odepřel veškerý provoz, což redukuje problém pouze na ten provoz, který
explicitně povolíte. Další zařízení ve vaší síti, např. přepínače, směrovače a
stolní počítače, by rovněž měla být zkontrolována, aby se ověřilo, že jimi
prochází pouze povolený typ provozu.
Další okruh bezpečnostních opatření, která můžete přijmout, je použití
e-mailových filtrů a softwaru pro detekci virů. Tyto prostředky je třeba
úzkostlivě udržovat, aby byly účinné, jsou však užitečné při poskytování
ochrany za firewallem.
Mít k dispozici základní srovnávací údaje o síťovém provozu může pomoci při
rozlišení provozních špiček způsobených legitimním přenosem objemných
mediálních souborů od těch, jejichž příčinou je rojení se hackerů.
Novým a zajímavým typem aktivní obrany je ManTrap od Recourse Technologies,
který poskytuje klamné webové prostředí, jež odlákává hackery od vašich
korunovačních klenotů a směruje je do bezpečné "klece", kde můžete zaznamenat
jejich aktivity a shromáždit důkazy potřebné pro uplatnění práva.
Jedno oko stále na titulcích
Zůstat v obraze je k klíčem ke každé dobré obranné strategii. Kvůli globální
povaze Internetu problém, jenž začíná na Filipínách, může během několika minut
ovlivnit servery v Pekingu, v Moskvě, v Praze nebo v New Yorku.
Ačkoliv Weby FBI a jiných vládních a průmyslových obranných organizací obsahují
hojnost informací, zpravodajská média hlavního proudu si začínají být vědoma
důležitosti počítačů v dnešní ekonomice a společnosti a jsou obvykle dobrým
zdrojem nejčerstvějších informací týkajících se útoků na systémy i výbuchů
virových nákaz.
Konfigurace
Jedním krokem, jehož zdůraznění nemohu přehnat, je udržení aplikací a
operačních systémů v aktuálním stavu tedy aplikace všech dostupných záplat. Zde
je obtížné udržet se na hranici mezi zajištěním toho, aby tyto patche
nedestabilizovaly produkční systém, a snahou mít bezpečnou konfiguraci.
Testujte své patche, mějte však k dispozici postupy, které vám umožní
upgradovat stroje, hned jak to bude možné, až dokončíte testování.
Zajištění toho, aby stroje, a nejen počítače, byly nakonfigurovány tak, aby
zpracovávaly jen podstatné a nezbytné služby, je prvořadé. Ačkoliv webová
rozhraní jsou určitě hezčí než konzole Telnetu, uživatelé některých síťových
zařízení jen s námahou přicházejí na to, že doplnění správcovských vlastností
do směrovače může způsobit více závažných problémů, než vyřeší.
Pracovištím používajícím softwarový HTTP server v nejnovějších verzích OS
Cisco, jenž umožňuje směrovači nebo přepínači prezentovat data prostřednictvím
webového prohlížeče, jsme v polovině května radili, že za určitých okolností
může být tento HTTP server zmanipulován.
Kontrola reálnosti
Příprava na nejhorší je neradostným úkolem, ušetří však mnoho křiku, když dojde
k průšvihu. Jednou z největších chyb, které společnosti dělají během krize, je
nucení lidí v prvních liniích čekat, zatímco vrcholové vedení se úporně snaží
vypořádat se s nouzovým stavem. Pro zápas s tímto problémem má být navržen
podnikový pohotovostní tým rychlé reakce.
Určení předem, kdo je oprávněn rozpojit síťové spoje, odstavit nebo restartovat
servery, případně provést jiné drastické kroky, může poněkud pocuchat účes,
vyplatí se však, až se čas stane silně nedostatkovým zbožím.
Trénování a audit
Dalším aspektem přípravy na nejhorší je trénink. Simulace útoku DoS je
nejlepším způsobem, jak určit, kde jsou slabá místa vaší organizace, a seznámit
personál s nouzovými postupy. Pojmenování problémů sice nezabrání příštímu
útoku na vás, avšak výcvik personálu ve zvládání kritických situací se správně
odrazí v jejich rutině.
Dobrou myšlenkou jsou také některé druhy externího auditu. Ačkoliv si lze k
prověrce sítí najmout týmy "skutečných" hackerů, doporučoval bych místo nich
využít pro tento druh práce firmy s lepší pověstí.
Bude pravděpodobně lépe, poohlédnete-li se po auditorské firmě se zkušenostmi v
oblasti síťové bezpečnosti, místo po konzultantovi, poněvadž je to jedna ze
situací, kdy trénink auditora má větší váhu než jakékoliv technické problémy.
Jak chytit blesk do ruky
Naneštěstí toho, co můžete udělat při předcházení útoku DoS, není příliš mnoho.
Tomu, kdo jej připravuje, však můžete ztížit a znepříjemnit život.
Mnoho z toho, co jsem zde nastínil, má obecný význam, ale je třeba si stále
opakovat: Nepovolujte služby, které nepoužíváte, udržujte své systémy v
aktuálním stavu pomocí patchů, používejte v praxi stejná pravidla hry, která
použijete, až nastane soudný den, a možná se dočkáte rána, aniž by utrpěla
úhonu vaše práce a vaše data.
0 2021 / pen

Příprava na odepření služby
Z hlediska podnikání
Ať již jsou spuštěny zevnitř nebo připraveny útočníkem z vnějšku, útoky DoS
mohou vaše síťové systémy přivést do stavu zablokování trvajícího několik minut
až hodin. Velmi významné je nejen případné zastavení vnitřních procesů, ale
také škody způsobené reputaci vaší společnosti v očích zákazníků a obchodních
partnerů. Příprava na možný vznik takového útoku vás staví do pozice umožňující
minimalizovat škody a systém rychle dostat zpět na koleje.
Z hlediska technologie
Mnoho útoků DoS využívá systémy, které buď postrádají správné patche operačních
systémů, nebo jsou nesprávně nakonfigurovány. Pojmenování těchto problémů řeší
pouze část potíží, protože úroveň znalostí a dovedností potřebná pro provedení
útoku DoS je žalostně nízká. Jakýkoliv podnik, kde bezpečnostní výcvik nepočítá
s útokem DoS, si koleduje o vznik velkých potíží, jakmile k němu dojde.
Výhody přípravy
Řádná příprava vám může pomoci včas detekovat útok.
Umožňuje shromáždit důkazy, které lze použít v trestním řízení.
Nevýhody přípravy
Nutí společnosti věnovat čas vylepšování bezpečnosti na úkor podnikatelských
cílů.
Vyžaduje nepřetržitou bdělost, protože aktuální verze a patche operačních
systémů mohou otevírat nové díry.

Recourse hází udičku crackerům
Někdy k odvrácení útoku na váš podnik nestačí zastrašování. Mnohem lepší je
skutečně chytit zlomyslného útočníka při činu. Je-li váš podnik napaden,
bezpochyby chcete, aby byl útočník obviněn a odsouzen. Dobrou zprávou je, že
vlády některých zemí již pokládají počítačový zločin za mnohem vážnější
problém, než tomu bylo před 10 lety. Špatnou zprávou je, že důkazní břemeno
potřebné pro dohnání zločince k odpovědnosti je obvykle na vás.
To vyžaduje, abyste zdokumentovali strukturu útoků, což znamená udržovat zájem
hackera a současně mu bránit (nebo jí, ale ve skutečnosti je to obvykle on) v
působení jakýchkoliv škod na vašich systémech.
To může být dosti ošemetná činnost, zejména kvůli tomu, že vaše úsilí vašemu
podniku nikdy nevydělá ani pětník. Na druhé straně alternativa být vydán na
milost a nemilost počítačovému zločinu příliš neletí.
Jak tedy chránit svůj majetek a přitom se snažit chytit ty spratky, kteří kazí
váš byznys? Není to dokonce ještě složitější, když váš útočník přichází z
důvěryhodného systému patřícího vaší společnosti nebo partnerovi?
Klasické odstrašovací techniky vám v těchto případech najít zrádce nepomohou.
Prvním tahem tedy obvykle je vytvoření "medového hrnce" návnady v podobě
falešných dat, jejíž klasický případ je dokumentován v knize Cliffa Stolla The
Cuckoos Egg (Kukaččí vejce). Potíž s takovou návnadou je, že zastarává a dnes
již poštovní a souborové servery nejsou v módě. Nabídnutí přitažlivého cíle pro
crackery vyžaduje, abyste vybudovali další aplikace simulující vaše prostředí
e-commerce.
Recourse Technologies (www. recourse.com) dostala takovou návnadu na vyšší
úroveň svým ManTrapem, nástrojem hostitelského typu, jenž vytváří falešné
operační prostředí, které narušitelům připadá jako reálné. ManTrap, jenž stojí
5 495 dolarů na jeden server, je aplikací Solarisu pro hardware Intel nebo
Sparc, běžící pod operačním systémem Solaris verze 2.6 nebo 7, jenž se
vyznačuje správou prostřednictvím webového rozhraní, generátorem náhodného
obsahu pro udržování e-mailových návnad a schopností pracovat v rozličných
prostředích.
ManTrap 1.6 je integrován s firewally využívajícími technologii proxy a
stateful-inspection ("chytrá" filtrace paketů) včetně firewallů Axent Raptor,
CheckPoint FireWall-1 a Cisco PIX. Je rovněž snadné odklonit podezřelý provoz
do ManTrapu prostřednictvím základních směrovacích příkazů síťového operačního
systému Internetwork Operating System (IOS) Cisco.
ManTrap pracuje tak, že odklání podezřelý provoz do "klece" běžící na
hostitelském systému ManTrapu, kde můžete zachytit posloupnosti stisknutých
kláves a zaznamenat chování útočníka.
To vám umožňuje přijít na to, které obranné mechanismy na vašich produkčních
systémech je třeba zlepšit, a přitom získat veškerý zdokumentovaný důkazní
materiál, jenž vám pomůže usvědčit pachatele nebo jej přinejmenším nechat
zatknout.
Ačkoliv ManTrap může být použit současně s řadou aplikací pro vytvoření
realistické příchuti vaší klece, budete muset dodat většinu dat. Jak problém
zjištění a soudního stíhání pachatelů útoků DoS (denial of service odepření
služby) dopadne, je nicméně hádankou, avšak uplatnění těchto digitálních
detektivů zlepšuje vyhlídky, že dopadnete narušitele, ať již přicházejí z vaší
sítě, anebo z druhého břehu.
Protože se oběti crackerů naneštěstí budou muset v dohledné době postarat o
většinu svého vlastního pátrání, je příjemné vědět, že jim mohou pomoci alespoň
některé užitečné nástroje.

Útok pomocí záplavy SYN
Záplava SYN (SYN flooding) těží z pravidel normální TCP komunikace zavalením
serveru požadavky na spojení. Zatímco server marně čeká na odpovědi, legitimní
uživatelé mají odepřen přístup.
Legitimní provoz zahajuje TCP spojení vysláním SYN požadavku obsahujícího
identifikační číslo. Server reaguje odpovědí "připraven". Server pak potvrzuje,
že spojení existuje.
Pracovní stanice
legitimního uživatele
Dokud neskončí time-out, server nemůže přijmout jakékoliv další žádosti o
spojení na tomto kanále. Pokud se to dělá opakovaně, legitimní uživatelé
nemohou přistupovat k zařízení, pokud se neprosmýknou mezi záplavou paketů.

Zdroje hovořící o DoS
Weby vládních a průmyslových organizací jsou jedním z nejlepších zdrojů
informací o problematice odepření služby a podnikové bezpečnosti obecně.
www.icsa.net
ICSA.net, dříve International Computer Security Association (ICSA) Mezinárodní
asociace pro počítačovou bezpečnost
www.nipc.gow/welcome.htm
National Infrastructure Prouection Center ochranné centrum patřící pod FBI
www.cert.org
Koordinační centrum CERT při Carnegie-Mellon University
www.sans.org
Institut SANS
www.first.org
Forum of Incident and Security Response Teams (FIRST) fórum pro týmy zabývající
se bezpečnostními incidenty a bezpečností
www.hert.org
Hacker Emergency Respose Team (HERT) nouzový tým čelící hackerům

Útok pomocí distribuovaného odepření služby
Při útoku DDoS hackeři umístí na jeden nebo více internetových serverů
nadřazené kontroléry. Tyto nadřazené stroje potom infikují další počítače a
vypustí démona, jehož úkolem je najít a vyzkoušet slabá místa a využít je.
Útočník zmanipuluje jeden nebo více počítačů, které během útoku slouží jako
"nadřazené" stroje.
Nadřazené počítače útočí na jiné zranitelné systémy a instalují démony Zombie,
které zkoušejí a hlásí slabiny cílových systémů.
Zombie útočí na oběť skrze předem odhalená slabá místa.

Vysoká cena za spravovatelnost
Správa všemožného softwaru i zařízení prostřednictvím webového rozhraní byla
během několika posledních let nabízena jako ta nejúžasnější věc hned po předem
nakrájeném chlebu. Protože všechna data potřebná pro správu jsou prezentována v
dobře srozumitelném formátu, pracoviště jsou nucena používat méně správcovských
nástrojů, uživatelé mají před sebou méně náročnou výukovou křivku a dokonce i
ta nejvíce strohá webová rozhraní prezentují data efektivněji než relace
Telnetu.
Avšak jeden z dodavatelů hardwaru s námahou přichází na to, že doplňování
webových služeb do hardwaru může ponechat zákazníky bezbranné.
Cisco, jeden z největších výrobců hardwarových zařízení pro stavbu sítí,
připravil svým zákazníkům v půlce května nepříjemné překvapení, když společnost
potvrdila existenci chyby v několika verzích svého síťového operačního systému
Internetwork Operating System (IOS), jenž představuje základní softwarovou
komponentu většiny produktů této společnosti. Tato chyba (popis je k dispozici
on-line na adrese www.cisco.com/warp/public/707/ioshttpserver-pub.shtml) může
způsobit zastavení nebo restart přepínače nebo směrovače, a tím i přerušení
služby.
Podle dokumentace, která je k dispozici na webových stránkách Cisca, tato chyba
"ovlivňuje téměř všechny směrovače a přepínače Cisco patřící do hlavního
proudu, na nichž běží IOS Cisco verzí 11.1 až 12.1 včetně." (To by mělo upoutat
vaši pozornost.) Firma Cisco naštěstí od poloviny května neobdržela žádné
zprávy, že by tato chyba, poprvé poslaná do adresáře Bugtraq 27. dubna, byla
zlovolně využita.
Tento problém v podstatě existuje v softwarově založeném HTTP serveru, jenž
prezentuje informace potřebné pro správu připojenému uživateli, obvykle členu
týmu správců sítě. Najetí prohlížečem na adresu http://<IP adresa směrovače>/%%
způsobí zhroucení směrovače nebo přepínače.
V řídkých případech to může znamenat hardwarový restart za účelem zotavení. V
nejlepším případě je vaše zařízení vyřazeno nejméně 2 minuty.
Existují však určitá světlá místa, protože jakékoliv zařízení Cisco, na němž
neběží IOS, je automaticky imunní. Pokud nemáte na vašich směrovačích a
přepínačích pracujících s postiženými verzemi IOS připuštěnu správu webového
typu, jste stále v pohodě.
Chcete-li zkontrolovat svá zařízení, přihlaste se a vydejte příkaz Show
Version, jenž vám umožní zjistit, zda provozujete postiženou verzi IOS. Popis
chyby od Cisca rovněž obsahuje tabulku verzí a stavu chyby.
Dokonce i když jste zasaženi, můžete něco dělat. Nejsnazší je přestat používat
funkce webové správy a zakázat na vašich směrovačích a přepínačích HTTP službu,
dokud nebudete moci nasadit přepracované verze IOS, které jsou nyní k
dispozici, na všechna zařízení ve vaší síti. Verze hardwaru vydané koncem
května nebo později již obsahují opravu, stejně jako tomu bude v současném
cyklu dočasných verzí IOS.
Další dočasné opravy, které můžete implementovat, zahrnují změnu přístupového
seznamu zařízení, kterou lze provést mnoha způsoby. Můžete použít standardní
přístupový seznam, který omezí použití samotné HTTP služby, nebo použít
rozšířený seznam adres pro zablokování provozu v zasažené síťové cestě. Protože
druhá metoda dává neočekávané výsledky v extrémně složitých konfiguracích, bude
lépe, když vyzkoušíte méně komplikovaný přístup.
Správa hardwaru pomocí prohlížeče vůbec není špatnou věcí, je-li však
implementována bez ohledu na základní bezpečnostní principy, může otevřít celou
škálu zranitelných míst, na něž zákazník nemusí být připraven. Vylepšení vašich
správcovských nástrojů je ohromnou věcí, ale neuřežte si pod sebou větev, až je
provedete.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.