- Захист роутера: Unplug and Pray
- Захист роутера: Заводські настройки
- Захист роутера: Уразливості роутера
- Захист роутера: Альтернативні служби
Виробники роутерів часто не надто переймаються якістю коду, тому і уразливості нерідкі. Сьогодні роутери - пріоритетна мета мережевих атак, що дозволяє вкрасти гроші і дані в обхід локальних систем захисту. Як самому перевірити якість прошивки і адекватність налаштувань? Допоможуть безкоштовні утиліти, сервіси онлайн-перевірки і ця стаття.
Роутери споживчого рівня завжди критикували за їх ненадійність, але висока ціна ще не гарантує високу безпеку. У грудні минулого року фахівці компанії Check Point виявили понад 12 мільйонів роутерів (в тому числі топових моделей) і DSL-модемів, які можна зламати через уразливість в механізмі отримання автоматичних налаштувань. Він широко застосовується для швидкого налаштування мережевого обладнання на стороні клієнта (CPE - customer premises equipment). Останні десять років провайдери використовують для цього протокол управління абонентським обладнанням CWMP (CPE WAN Management Protocol). Специфікація TR-069 передбачає можливість відправляти з його допомогою настройки і підключати сервіси через сервер автоконфігурації (ACS - Auto Configuration Server). Співробітники Check Point встановили, що у багатьох роутерах є помилка обробки CWMP-запитів, а провайдери ще ускладнюють ситуацію: більшість з них ніяк не шифрується з'єднання між ACS і обладнанням клієнта і не обмежують доступ по IP- або MAC-адресами. Разом це створює умови для легкої атаки по типу man-in-the-middle - «людина посередині».
Через вразливу реалізацію CWMP зловмисник може робити практично що завгодно: задавати та зчитувати параметри конфігурації, скидати установки до стандартних значень і віддалено перезавантажувати пристрій. Найпоширеніший тип атаки полягає в підміні адрес DNS в настройках роутера на підконтрольні зломщику сервери. Вони фільтрують веб-запити і перенаправляють на підроблені сторінки ті з них, які містять звернення до банківських сервісів. фейкові сторінки створювалися для всіх популярних платіжних систем: PayPal, Visa, MasterCard, QIWI та інших.
Особливість такої атаки полягає в тому, що браузер працює в чистій ОС і відправляє запит на коректно зазначену адресу реальної платіжної системи. Перевірка мережевих налаштувань комп'ютера і пошук вірусів на ньому не виявляють жодних проблем. Більш того, ефект зберігається, якщо підключитися до платіжної системи через зламаний роутер з іншого браузера і навіть з іншого пристрою в домашній мережі.
Оскільки більшість людей рідко перевіряють настройки роутера (або зовсім довіряють цей процес технікам провайдера), проблема довго залишається непоміченою. Дізнаються про неї зазвичай методом виключення - вже після того, як гроші були вкрадені з рахунків, а перевірка комп'ютера нічого не дала.
Щоб підключитися до роутера по CWMP, зловмисник використовує одну з найпоширеніших вразливостей, характерних для мережевих пристроїв початкового рівня. Наприклад, в них міститься сторонній веб-сервер RomPager, написаний компанією Allegro Software. Багато років тому в ньому виявили помилку в обробці cookies, яку оперативно виправили, але проблема залишилася до сих пір. Оскільки цей веб-сервер є частиною прошивки, оновити його одним махом на всіх пристроях неможливо. Кожен виробник повинен був випустити новий реліз для сотень вже продаються моделей і переконати їх власників скоріше скачати оновлення. Як показала практика, ніхто з домашніх користувачів цього не зробив. Тому рахунок вразливих пристроїв йде на мільйони навіть через десять років після виходу виправлень. Більш того, самі виробники продовжують використовувати в своїх прошивках стару вразливу версію RomPager донині.
Крім маршрутизаторів, вразливість зачіпає телефони VoIP, мережеві камери та інше обладнання, що допускає настроїти через CWMP. Зазвичай для цього використовується порт 7547. Перевірити його стан на роутері можна за допомогою безкоштовного сервісу Стіва Гібсона Shields Up. Для цього необхідно набрати його URL , А потім додати
/ X / portprobe = 7547
Роутер проігнорував запит на порт 7547.
У цьому тесті показовий тільки позитивний результат. Негативний ще не гарантує, що уразливості немає. Щоб її виключити, потрібно провести повноцінний тест на проникнення - наприклад, з використанням сканера Nexpose або фреймворка Metasploit . Розробники часто самі не готові сказати, яка версія RomPager використовується в конкретному релізі їх прошивки і чи є вона там взагалі. Цього компонента точно немає тільки в альтернативних прошивках з відкритим кодом (мова про них піде далі).
Ще один спосіб виконати безкоштовний аудит домашньої мережі -Завантажити і запустити антивірус Avast. Його нові версії містять майстер перевірки Network check, який визначає відомі уразливості і небезпечні мережеві настройки.
Захист роутера: Unplug and Pray
Є й інші давно відомі проблеми, які не бажають виправляти власники мережевих пристроїв або (рідше) їх виробники. Два роки тому експерти DefenseCode виявили цілий набір вразливостей в роутерах і другом активному мережному обладнанні дев'яти найбільших фірм. Всі вони пов'язані з некоректною програмною реалізацією ключових компонентів. Зокрема - стека UPnP в прошивках для чіпів Broadcom або використовують старі версії відкритої бібліотеки libupnp.
Роутер не відповів на запит UPnP SSDP, і це добре!
Разом з фахівцями Rapid7 і CERT співробітники DefenseCode знайшли близько семи тисяч уразливих моделей пристроїв. За півроку активного сканування випадкового діапазону адрес IPv4 було виявлено понад 80 мільйонів хостів відповідали на стандартний запит UPnP на WAN-порт. Кожен п'ятий з них підтримував сервіс SOAP (Simple Object Access Protocol), а 23 мільйони дозволяли виконати довільний код без авторизації.
У більшості випадків атака на роутери з такою дірою в UPnP виконується через модифікований SOAP-запит, який призводить до помилки обробки даних і потрапляння решти коду в довільну область оперативної пам'яті маршрутизатора, де він виконується з правами суперкористувача. На домашніх роутерах краще UPnP зовсім відключити і переконатися в тому, що запити на порт 1900 блокуються. Допоможе в цьому той же сервіс Стіва Гібсона.
Протокол UPnP (Universal Plug and Play) включений за замовчуванням на більшості маршрутизаторів, мережевих принтерів, IP-камер , NAS і занадто розумною побутової техніки. Він за замовчуванням активований в Windows, OS X і багатьох версіях Linux. Якщо є можливість тонкої настройки його використання - це ще півбіди. Якщо доступні тільки варіанти «включити» і «вимкнути», то краще вибрати останній.
Іноді виробники навмисно впроваджують програмні закладки в мережеве обладнання. Швидше за все, це відбувається за вказівкою спецслужб, але в разі скандалу в офіційних відповідях завжди згадується «технічна необхідність» або «фірмовий сервіс по поліпшенню якості зв'язку». Вбудовані бекдори були виявлені в деяких роутерах Linksys і Netgear. Вони відкривали порт 32764 для прийому віддалених команд. Оскільки цей номер не відповідає жодному загальновідомого сервісу, цю проблему легко виявити - наприклад, за допомогою зовнішнього сканера портів.
Захист роутера: Заводські настройки
Найпоширенішою проблемою із захистом роутерів залишаються заводські настройки. Це не тільки загальні для всієї серії пристроїв внутрішні IP-адреси, паролі і логін admin, але також включені сервіси, що підвищують зручність ціною безпеки. Крім UPnP часто за замовчуванням включений протокол віддаленого управління Telnet і сервіс WPS (Wi-Fi Protected Setup).
В обробці запитів Telnet часто знаходять критичні помилки. Наприклад, маршрутизатори D-Link серії DIR-300 і DIR-600 дозволяли віддалено отримати шелл і виконати будь-яку команду через демон telnetd без будь-якої авторизації. На роутерах Linksys E1500 і E2500 була можлива інжекція коду через звичайний пінг. Параметр ping_size у них не перевірявся, в результаті чого методом GET бекдор заливався на роутер одним рядком. У разі E1500 взагалі не було потрібно ніяких додаткових хитрувань при авторизації. Новий пароль можна було просто поставити без введення поточного.
Аналогічна проблема була виявлена у VoIP-телефону Netgear SPH200D. Додатково при аналізі прошивки з'ясувалося, що в ній активний прихований аккаунт service з таким же паролем. За допомогою хакерського пошукача Shodan знайти вразливий роутер можна за пару хвилин. Вони до цих пір дозволяють змінювати у себе будь-які налаштування віддалено і без авторизації. Можна цим негайно скористатися, а можна зробити добру справу: виявивши горе-юзера, знайти його по IP або логіну Skype, щоб відправити пару рекомендацій - наприклад, змінити прошивку і прочитати цю статтю.
Захист роутера: Уразливості роутера
Біда рідко приходить одна: активація WPS автоматично призводить до включення UPnP. До того ж використовуваний в WPS стандартний пін-код або ключ попередньої аутентифікації зводить нанівець всю криптографічний захист рівня WPA2-PSK.
Через помилки в прошивці WPS часто залишається включений навіть після його відключення через веб-інтерфейс. Дізнатися про це можна за допомогою Wi-Fi-сканера - наприклад, безкоштовного додатку Wifi Analyzer для смартфонів з ОС Android.
Якщо вразливі сервіси використовуються самим адміністратором, то відмовитися від них не вийде. Добре, якщо роутер дозволяє хоч якось їх убезпечити. Наприклад, не брати команди на порт WAN або задати конкретний IP-адреса для використання Telnet.
Іноді можливості налаштувати або просто відключити небезпечний сервіс в веб-інтерфейсі просто немає і закрити дірку стандартними засобами неможливо. Єдиний вихід в цьому випадку - шукати нову або альтернативну прошивку з розширеним набором функцій.
Захист роутера: Альтернативні служби
Найбільш популярними відкритими прошивками стали DD-WRT, OpenWRT і її форк Gargoyle. Встановити їх можна тільки на маршрутизатори зі списку підтримуваних - тобто тих, для яких виробник чіпсета розкрив повні специфікації.
Наприклад, у Asus є окрема серія роутерів, спочатку розроблена з прицілом на використання DD-WRT . Вона вже налічує дванадцять моделей від початкового до корпоративного рівня. Роутери MikroTik працюють під управлінням RouterOS, яка не поступається за гнучкості налаштувань сімейства * WRT. Це теж повноцінна мережева ОС на ядрі Linux, яка підтримує абсолютно всі сервіси і будь-які мислимі конфігурації.
Альтернативні прошивки сьогодні можна встановити на багато роутери, але будь уважний і перевіряй повна назва пристрою. При однаковому номері моделі і зовнішній вигляд у маршрутизаторів можуть бути різні ревізії, за якими можуть ховатися абсолютно різні апаратні платформи.
На жаль, установка альтернативної опенсорсний прошивки - це всього лише спосіб підвищити захист, і повної безпеки він не дасть. Всі прошивки побудовані за модульним принципом і поєднують в собі ряд ключових компонентів. Коли в них виявляється проблема, вона зачіпає мільйони пристроїв. Наприклад, вразливість у відкритій бібліотеці OpenSSL торкнулася і роутерів з * WRT. Її криптографічні функції використовувались для шифрування сеансів віддаленого доступу по SSH, організації VPN , Управління локальним веб-сервером і інших популярних завдань. Виробники почали випускати оновлення досить швидко, але усунути проблему повністю досі не вдається.
Нові уразливості в роутерах знаходяться постійно, і якимись з них встигають скористатися ще до того, як вийде виправлення. Все, що може зробити власник маршрутизатора, - це відключити зайві сервіси, змінити дефолтні параметри, обмежити віддалене управління, частіше перевіряти настройки і оновлювати прошивку.
Ще по темі: Як захистити IP-камеру
Як самому перевірити якість прошивки і адекватність налаштувань?