В этой публикации друзья сначала мы выступим в роли злоумышленников и ломанем подопытный маршрутизатор микротик. А потом поговорим о том как можно элементарными, базовыми способами защитить наш маршрутизатор от подобного рода атак.
И так друзья, что в нашем распоряжении есть?
Локальная сеть за маршрутизатором микротик. В качестве подопытного кролика у нас выступает микротик RB941. Рассматриваем случай, когда микротик с дефолтными настройками или настройки маршрутизатора сброшены и настроен некорректным способом. Поэтому рассматриваем уязвимости нашего оборудования исходя из этих реалий. Начнем !!!
Основные уязвимости
В данном случае будем искать и использовать следующие уязвимости нашего оборудования:
- Слабая связка логин пароль
- Общеизвестные открытые порты
- Уязвимости в старых прошивках
Погнали. Начнем наши злодеяния. Первым делом сканируем локальную сеть и выясняем IP адрес нашего маршрутизатора локальной сети. После определения маршрутизатора мы любой программой, которых на самом деле огромное множество сканируем порты маршрутизатора. Мы обычно для этого используем nmap. Как видно из рисунка ниже, помимо открытых портов nmap с ключем -sV показывает нам исчерпывающую информацию о атакуемом устройстве.
И так, что же нам покажет программа просканировав все порты, а покажет она кучу портов по которым можно осуществить атаку:
- 21 FTP сервер
- 22 SSH
- 23 Telnet
- 80 Web сервер микротика
- 8291 Winbox
- 8728 и 8729 под API
Предлагаю осуществлять дальнейшую атаку по порту 23 Telnet. На самом деле существуют различные программы для подбора паролей, такой способ атаки называется перебор паролей грубой силой или брутфорсом. Смысл довольно прост, к программе подгружается список паролей, которые и будут перебираться для предоставления доступа к атакуемому устройству локальной сети. С перебором паролей по порту 80 задача чуть усложняется, так как форма для авторизации на разном оборудование отличается, ее нужно подгонять под задачу, если прошивка оборудования не сильно старая и присутствует ограничение попыток ввода пароля или капча, это значительно затрудняет атаку по данному порту.
Чтобы не рекламировать стороннее программное обеспечения, которое в первую очередь направленно на нас, как установщика слаботочного оборудования, будем использовать простенькую программу написанную собственными силами, чтобы показать вам как подобный род атаки работает. Наша программа на входе будет принимать следующие значения: IP адресс атакуемого маршрутизатора, порт на котором работает служба Telnet, логин по которому будет осуществляться атака.
Для того, чтобы понимать как работает атака сначало попробуем зайти на маршрутизатор локальной сети по телнету в ручном режиме. Смотрим какие поля микротик ожидает для ввода. Видим, что сначала telnet сервер маршрутизатора ждет ввода поля Login: и Password:
Проверим, что происходит при неправильном вводе пароля. Ага, микротик нам присылает сообщения Login failed. Отсюда и будем исходить, программа ждет от нашего маршрутизатора поле Login: и подставляет наш логин, далее ждет поля Password: и из нашего словаря подгружает по одному паролю за одну итерацию, в случае неуспешной попытки ловим фразу от микротика Login Failed. Все довольно просто.
Осуществляем атаку:
- Вводим в программу заводской IP адресс микротика 192.168.88.1
- Вводим порт Telnet сервера 23
- В качестве логани используем admin, из нашей практики огромное количество клиентов или используют этот логин по умолчанию или забывают удалить этого пользователя
- Все !!! Как видно на рисунке ниже началась атака на наш маршрутизатор которая заканчивается успехом.
Как вживую атака происходила и как от этого защититься смотрите на нашем Youtube канале, не забываем подписаться друзья )))
Защита
А теперь поговорим о том, как нам защититься самыми простыми способами не прибегая к сложным настройкам маршрутизатора локальной сети. Первое, что нам нужно сделать это создать нового пользователя, логиина admin недолжно быть от слова вообще !!! Честно признаюсь друзья сам попадался на эту удочку, расскажу эту историю.
Только начинаю настраивать маршрутизатор на одном объекте, первым делом поднял связь с провайдером (незнаю почему, знаю очень глупо). Вижу в логе меня начинают ломать по телнету (собственно эта история и побудила меня к написанию данной стать). У меня маршрутизатор еще не подключен к локальной сети, логин admin, пароль пустой, маршрутизатор сброшен в ноль до этого был. Вижу залез в маршрутизатор злодей, меняет ssh порт, прописывает правила в dst nat и filter rulles пробрасывает этот порт, делает новый логин admin1 и выходит.
Таким образом злоумышленник сделал закладочку в маршрутизаторе для атаки на нашу локальную сеть на перспективу, или для использование нашего оборудования в дальнейшем как проходной VPN тунель или для более крупной атаки с использованием всех зараженных устройств. На самом деле существует огромное количество вариантов !!!
Логин / Пароль
Логин мы с вами уже обсудили .... admin под запретом, создали сложный логин tut-nikogo-net и переходим к паролю. Пароль должен быть очень сложный: спецсимволы, цифры, буквы нижнего и верхнего регистров достаточной длины. Допустим я использую пароли не менее 20 символов:
Друзья, это правило справедливо для любого сетевого устройства, не только для маршрутизаторов локальной сети. Если вы используете для доступа к устройству SSH я рекомендую вместо парольной защиты проводить авторизацию по ключу, а лучше ключу и паролю. На Windows пару приватный и публичный ключ RSA вы можете сгенерировать с помощью утилитки puttygen, которая входит в пакет Putty. На Linux можно воспользоваться командой ssh-keygen, которая установлена в дистрибьютивах по умолчанию. Как публичный RSA ключ добавить для авторизации в микротик смотрите видос на нашем Youtube канале )))
Посмотрите друзья, вот мы сгенерировали пару, для нашего маршрутизатора локальной сети Микротик, на картинке ниже представлен 2048 битный RSA публичный ключ нашей пары, согласитесь такой ключ ломануть будет куда сложнее !!!
Отключаем неиспользуемые службы:
Опять же не зацикливаемся на маршрутизаторе микротик друзья. Тушим все неиспользуемые сервисы. Так же настраивая Firewall и DST NAT нужно придерживаться правила закрывать абсолютно все, кроме того, что вам нужно. Службы которые нам нужны, оставляем, но обязательно меняем стандартные порты, желательно вправо, чтобы в FireWall мы могли сделать ловушку для стандартного порта ( в дальнейших статьях и на канале мы про это снимем отдельное видео). Вот например я показываю свой список открытых служб в маршрутизаторе микротик (порт выставлен как пример).
Отключаем обнаружение маршрутизатора по сети.
Что по умолчанию маршрутизатор микротик делает? Рассылает во все порты информацию о том какой он красивый, какая версия у него прошивки, как он называется и какой IP адрес имеет, показывает свой uptime. Однозначно это недопустимо друзья. Самое адекватное, что мы можем сделать это в настройках Neighbor List запретить ему это делать. Самый простой вариант в настройках Discoveri Setting выставить интерфейс none.
Если вы хотите отключить обнаружение только по внешнему каналу, и оставить SSDP для локальной сети, не будем плодить кучу фоток по настройке, скопируйте нижеописанные команды в терминал микротика.
- interface list member add list=LAN-Discovery // Создаем лист LAN-Discovery
- interface list member add list=LAN-Discovery interface=most-main // Создаем лист для поиска для моста most-main ( у вас ваш вариант)
- ip neighbor discovery-settings set discover-interface-list=LAN-Discovery // В Discovery Setting указываем наш созданный лист
Так же друзья я бы рекомендовал вам в настройках Tools отключать Mac Server, так как все ваши настройки и блокировки Firewall невилируются тем, что вы можете получить доступ к вашему маршрутизатору на канальном уровне.
Обновление прошивки
Опять же не только микротик друзья, следите за выходом новых стабильных прошивок на маршрутизаторы вашей локальной сети. Производетели оборудования постоянно совершенствует свое программное обеспечение, устраняют найденные в нем уязвимости. Тот же микротик после найденых уязвимостей рекомендовал всем пользователям своего оборудования обновить версии прошивки выше 6.40. Поэтому это очень важно, следите за выходом новых прошивок, но используйте только прошивки с маркировкой Stable или Long Term !!!!
Это самые простые и очевидные вещи друзья. К сожалению пользователи довольно часто игнорируют их. Хотя нет абсолютно никаких сложностей в их реализации. Обязательно посмотрите на нашем Youtube канале как происходит взлом маршрутизатора и я думаю вы сделаете правильные выводы !!! И да, не забывайте подписываться на наш, канал, впереди много всего интересного !!!