ИЗУЧЕНИЕ КОНФИГУРАЦИИ УСТРОЙСТВА 3Com

Наши герои поняли, что устройство 3Com расположено за межсетевым экраном и что ошибка администратора предоставила им неожиданный кружной путь, позволяющий атакующим соединиться с портом с большим номером в обход межсетевого экрана.

Теперь, имея доступ к панели управления 3Com, они стали искать записи о конфигурации, включая и то, какие устройства с какими IP‑адресами соединены, и какие протоколы используются для реализации локальной сети. Они обнаружили, что устройство находится в том же диапазоне адресов, что и почтовый сервер, и вне внутреннего межсетевого э к р а н а , в DMZ. « М ы сделали вывод, что устройство находится под защитой межсетевого экрана и защищено от подключений из Интернета неизвестным нам набором фильтров».

Они попытались определить конфигурацию самого устройства, чтобы понять, как устанавливаются входящие соединения, но через имеющийся интерфейс они не смогли получить нужной информации. Они продолжали размышлять, почему, когда пользователь соединялся с портом 4065 в маршрутизаторе Cisco из любого места Интернета, соединение происходило с устройством 3Com, которое было включено в маршрутизатор Cisco.

«В этот момент мы были почти уверены, что получим доступ ко входам в с е т ь и проберемся в ее сердцевину. Мы находились в прекрасном настроении, но, как говорится, были порядком утомлены, поскольку интенсивно работали в течение двух дней.

Мы отправились в пивную, чтобы обсудить, как сделать следующие дни не менее удачными, поскольку мы собирались начать просматривать конкретные системы и проникать вглубь сети».

Продолжая думать все о том же устройстве 3Com, они установили режим записи активности управляющей консоли. Если что‑то случится ночью, то они увидят все сделанное следующим утром…

ТРЕТИЙ ДЕНЬ

Когда Брок просматривал эти записи на следующий день, то обнаружил, что там появлялись различные IP‑адреса. Луис поясняет: «после более пристального изучения устройства 3Com мы поняли, что это была разновидность VPN, которую удаленные пользователи использовали для соединения с сетью компании из любого м е с т а Интернета. В этот момент мы были уверены, что попадем в сеть тем же путем, как это делают авторизованные пользователи».

Они попытались установить свой личный VPN‑интерфейс на устройстве 3Com, напечатав другой интерфейс в диалоговом окне 3Com с другим IP‑адресом, одним из тех, что межсетевой экран наверняка бы не отфильтровал.

Это не сработало. Они обнаружили, что устройство не может быть сконфигурировано без нарушения существующей системы услуг. Они не могли создать новую VPN‑систему, поскольку архитектура устройства была такова, что их возможные действия в нем были весьма ограничены.

«Наши надежды на быстрый доступ внутрь сети быстро таяли. Мы расстроились и притихли. Но это была лишь одна из наших первых попыток, и просто обязан был существовать еще один путь. У нас был сильный стимул, ведь доступ к одному из устройств — это хороший плацдарм для атаки. Просто надо было работать интенсивнее».

Они находились в DMZ сети компании, но когда попытались соединиться оттуда со своим компьютером, им это не удалось. Они хотели выяснить, какие системы присутствуют в сети (так называемый ping), но сделать это из устройства 3Com за межсетевым экраном, чтобы расширить свой список возможных мишеней для атаки. Если бы там были какие‑нибудь адреса устройств в оперативной памяти, это означало бы, что какое‑то устройство блокирует доступ к протоколам самого высокого уровня. «После нескольких попыток», — говорит Луис, «мы обнаружили входы в оперативную ARP‑памятъ, указывающую на то, что некоторые компьютеры сообщают свои адреса». (ARP — Adress Resolution Protocol — это метод для обнаружения адресов узлов. Каждый узел держит в буфере набор адресов, которые через него прошли, чтобы ускорить передачу пакетов данных).

В домене определенно были другие компьютеры, «но на запрос ping они не давали ответа, что было классическим признаком межсетевого экрана. Для тех, кто не знаком с техникой „pinging“, это техника сканирования сети, которая состоит в передаче пакетов определенного типа (ICMP) на компьютер‑мишень, чтобы определить — включен он или нет. Если узел работает, то он отвечает своеобразным пакетом ICMP‑echo. Это только подтвердило наши подозрения, что есть еще один межсетевой экран и еще один уровень безопасности между устройством 3Com и их внутренней сетью». Луис почувствовал, что они зашли в тупик.

«Мы получили доступ к их VPN‑устройству, но не могли с его помощью создать собственную VPN‑сеть. Н а ш энтузиазм начал снижаться. Появилось ощущение, что проникнуть в эту сеть будет не так‑то просто. Необходим был „мозговой штурм“ для свежих идей».

Они решили исследовать IP‑адреса, которые нашли в записи об активности консоли. « М ы решили посмотреть, кто же соединяется с нашим устройством 3Com удаленно, поскольку, если вам удается проникнуть в устройство, то вы можете перехватить его соединения». Или же они могли получить там необходимую для авторизации информацию, которая помогла бы им выдать себя за законных пользователей.

Они знали определенный набор фильтров, говорит Луис, и искали пути обхода этих фильтров в межсетевом экране. Он надеялся на то, что они смогут «найти защищенную систему, в которую им удастся проникнуть через межсетевой экран. Нас очень интересовали IP‑ад‑реса».

Когда они соединялись с консолью системы 3Com, объясняет он, при соединении с ней удаленного пользователя или изменении конфигурации на экране появлялось соответствующее сообщение. « М ы могли видеть все соединения, идущие на этот IP‑адрес».

Они увидели там и информацию об организациях, которым принадлежали эти адреса. Там имелась и контактная информация административного и технического персонала, отвечающего за сети этих организаций. Используя эти адреса, они опять обратились к регистрационной базе данных на RIPE, которая предоставила им информацию о том, на какую компанию зарегистрированы эти IP‑адреса.

Их ждал еще один сюрприз. « М ы обнаружили, что адреса зарегистрированы на крупного телекоммуникационного провайдера в той стране. Тогда еще у нас не складывалась общая картина, мы не могли понять, что означают эти IP‑адреса и зачем люди из телекома соединяются с этим устройством», — рассказывает Луис, используя английский термин «telecom» для того, что чаще называется Интернет сервис‑провайдерами. И они задумались, а что, если VPN —соединения могут исходить и от удаленных пользователей компании, или от чего‑то такого, что им вообще трудно было себе представить.

«Пришла пора нам сесть и очень серьезно задуматься о происходящем. Нам просто необходимо было увязать воедино все кусочки картины, имевшиеся в нашем распоряжении, чтобы понять хоть что‑нибудь. Наши надежды пока не сбывались. Мы получили доступ в систему, но продвинуться дальше не смогли, и вообще не достигли за день никакого прогресса. Но, вместо того, чтобы пойти домой, и попытать счастья на следующее утро, мы решили пойти в пивную, выпить, расслабиться и прочистить свои головы перед тем, как отправиться домой на общественном транспорте.

Б ы л а ранняя весна, морозец еще пощипывал щеки. Мы вышли из офиса и завернули за угол, где располагался тихий и спокойный, традиционный английский паб.

Я пил темное пиво, а Брок — персиковую водку с лимонадом — очень славная выпивка, всем рекомендую попробовать. Мы просто сидели там, трепались и размышляли, почему за день нам не удалось сделать все, что мы намечали. После первого стакана мы успокоились и достали листок и наши авторучки. Мы начали выдвигать идеи о том, что делать дальше.

Много чего мы н а м е т и л и в т о т вечер, поэтому, в е р н у в ш и с ь н а з а в т р а к компьютерам, мы смогли быстро с е с т ь и начать работать. Мы зафиксировали все, что нам было известно о структуре сети, и попытались понять, каким пользователям нужен доступ к VPN, где физически расположена система, и реконструировать возможные идеи авторов системы при создании службы удаленного доступа к ней.

Мы попытались нарисовать все, что знали о системе, а также и других системах, которые были с ней связаны. Прежде всего мы хотели понять, где в сети расположено пресловутое устройство 3Com. В нижней части рисунка мы нарисовали много квадратиков. По нашему мнению, такие люди, как курьеры и водители должны были иметь доступ к некоторым частям системы. И все же мы не были уверены в этом».

Луис пытался понять, кто, кроме сотрудников компании, может нуждаться в доступе к ней. Они имели дело с компанией, которая заслуженно гордилась своими технологическими инновациями. поэтому Луис и Брок подумали, что, может быть, в ней разработали «какое‑то действительно мощное приложение», которое позволяло бы курьерам входить в систему после доставки товара, а затем получать следующее задание. Это приложение могло быть специально защищено от всевозможных ошибок и дурацких действий. Может быть, водителю достаточно было подвести мышкой курсор к иконке, чтобы дать сигнал приложению соединиться с сервером и получить следующий маршрутный лист.

«Мы думали о том, что эти самые водители не могут быть экспертами в компьютерной области, поэтому система должна быть очень простой в общении. Мы начали думать об этом с точки зрения бизнеса: какую систему просто установить, просто поддерживать и в то же время обеспечивать ее безопасность?»

Они начали думать о системе связи dial‑up, «скорее всего с ноутбука в кабине автомобиля в распоряжении водителя». Тут два варианта: либо компания сама занимается хостингом, — тогда адреса серверов уже в нашем распоряжении, либо отдает их на сортировку кому‑то еще. Можно предположить, что этим «кем‑то» является телекоммуникационная компания, следы которой мы заметили в своих записях. Мы предположили, что именно с ней связь организуется из Интернета через VPN‑канал». Это укладывалось в схему, по которой водители звонят в эту телекоммуникационную компанию и авторизуются перед тем, как их допустят до соединения с сетью компании‑мишени.

Но была и еще одна возможность, продолжает Луис. «Мы продолжали размышлять: „Давай посмотрим, сможем ли мы создать такую архитектуру, в которой парень из грузовика соединялся бы через dial‑up с системой, проходил бы там авторизацию и авторизовался бы системой компании, а не провайдером телекоммуникационных услуг. Как можно организовать в такой компании VPN, чтобы любая информация от водителя добиралась до основной компании и не была бы расшифрована в Интернете?“

Они подумали и о том, как решает компания проблему авторизации пользователей. Если курьер должен соединяться с одной из систем, расположенных в телекоммуникационной компании и авторизоваться в ней, тогда и услуги авторизации должны отдаваться на аутсорсинг. Решение могло быть другим, если бы верным оказалось предположение о том, что компания осуществляет хостинг сама, а не у провайдера Интернет‑услуг.

Часто задача авторизации передается отдельному серверу, который выполняет эту функцию. Вполне возможно, устройство 3Com использовалось для доступа к идентификационному серверу внутренней сети компании‑мишени. Звоня с сотового модема, водитель соединялся с Интернет‑провайдером, а затем переадресовывался на устройство 3Com, где его имя пользователя и пароль посылались на другой сервер для авторизации.

Итак, на этом этапе их рабочая гипотеза заключалась в том, что при инициации dial‑up соединения устанавливается VPN‑соединение между инициатором и устройством 3COM.

Луис и Брок догадывались, что для получения доступа к внутренней сети надо получить доступ к ISP, с которыми и соединяются водители машин. Однако, «мы не знали номера dial‑up этих устройств. Они были расположены в незнакомой стране, и мы не знали, что это за телефонные линии, и как получить эту информацию самостоятельно. Мы знали только то, что тип протокола, используемого в V P N , был PPTP». А это было важно, потому что установленный « п о умолчанию» Microsoft V P N сохраняет в своей п а м я т и логин и пароль тех, кто с ним соединялся.

К тому времени, когда они это поняли, они уже порядком выпили и решили «пойти напролом».

«В этот момент мы подумали, что хорошо бы сохранить листок бумаги, на котором мы записывали все результаты нашего „мозгового штурма“, поскольку, если мы все же прорвемся внутрь системы, то этот листок будет уникальным экспонатом. Мы оба были просто горды друг другом за то, что мы смогли придумать».

Наши рекомендации