Cisco IOS z punktu
widzenia intruza
Kamil Folga
Intruz  wykorzystując niewiedzę
lub niedbałość administratora
 może przejąć kontrolę nad
urządzeniami sieciowymi
Cisco na wiele różnych
sposobów. Wykorzystanie luk
umożliwiających nieuprawniony
dostęp czy atak Denial of
Service to wyłącznie kwestia
czasu.
rodukty firmy Cisco Systems to nieod- kich dostępnych funkcji. Trzy podstawowe kate-
łączny element wszelkich sieci kompu- gorie systemu przedstawiono w Tabeli 1.
Pterowych  często strategiczny i nara- Szczegółowe oznaczenie wersji systemu jest
żony na bezpośrednie zagrożenia. Główne za- bardziej skomplikowane. Składa się z oznacze-
stosowanie urządzeń Cisco to praca w sieciach nia numerycznego (na przykład 11.1, 12.2) oraz
szkieletowych dostawców Internetu (ISP) oraz literowego, które zazwyczaj opisuje specyficzne
operatorów telekomunikacyjnych  uchodzą za zastosowania danego IOS. Przykładowo:
niezawodne i bezpieczne. Mimo to, próby ata-
ków na rutery i switche Cisco są dość częste. " T  poprawki błędów i wprowadzenie no-
Niedawna kradzież kodu z
ródłowego i wykry- wych możliwości,
te błędy w sterującym tymi urządzeniami sys- " S  poprawki błędów i wsparcie dla wysoko-
temie operacyjnym (Cisco IOS) nie napawają wydajnego rutingu,
optymizmem.
Z artykułu nauczysz się...
Obiekt ataku
Sercem produktów firmy Cisco jest system ope-
" jakie luki i w jaki sposób może wykorzystać
racyjny IOS (Internetworking Operating Sys-
intruz by przejąć kontrolę nad ruterem Cisco,
tem). Jego głównym zadaniem jest realizacja
" w jaki sposób intruz może przeprowadzić atak
zadań trasowania w sieci rozległej. System IOS
DoS na ruter Cisco,
steruje sprzętowymi składnikami rutera za po-
" o jakich zasadach należy pamiętać, by zabez-
mocą określonego zestawu poleceń. Podobnie
pieczyć ruter przed atakami.
jak każdy system operacyjny, zawiera narzę-
Powinieneś wiedzieć...
dzia umożliwiające konfigurację, monitorowanie
oraz zarządzanie urządzeniami. Przechowywa- " znać podstawy funkcjonowania ruterów Cisco,
ny jest w pamięci flash (może być również łado- " znać podstawy funkcjonowania protokołu
SNMP.
wany z dysku twardego lub przez TFTP) i składa
się z jednego pliku, zawierającego kod wszyst-
22 www.hakin9.org Hakin9 Nr 6/2004
Atak
Cisco IOS
" E  urządzenia szkieletu sieci, Tabela 1. Kategorie Cisco IOS
zaawansowane funkcje Quality
Kategoria Cisco Przeznaczenie
of Service, wsparcie dla usług
IOS
głosowych, bezpieczeństwo,
General Deploy- Wersja zastosowania ogólnego, cechuje się stabil-
" B  poprawki błędów, wsparcie
ment (GD) nością, nie zawiera znaczących błędów.
dla usług szerokopasmowych.
Early Deployment Wsparcie dla nowych technologii, możliwe luki
(ED) w bezpieczeństwie i błędy.
Dodatkowo wprowadzono oznacze-
Maintenance Rele- Wersja zastępująca kod General Deployment, za-
nia specjalnych edycji systemu, mię-
ase (MR) wierająca poprawki, rygorystycznie testowana.
dzy innymi:
" A  rutery dostępowe, połączenia
Listing 1. Wstępna identyfikacja ruterów przy użyciu programu mtr
wdzwaniane,
" D  xDSL,
# mtr host.provider.net
Matt`s traceroute [v0.51]
" H  SDH/SONET,
Fri Oct 1 17:24:29 2004
" J  technologie łącz bezprzewo-
Keys: D  Display mode R  Restart statistics Q  Quit
dowych Aironet,
Packet Pings
" M  Mobile Wireless,
Hostname %Loss Rcv Snt Last Best Avg Worst
" W  ATM/LAN, przełączanie
1. host.example.net 0% 14 14 0 0 0 1
2. router.example.net 0% 14 14 1 1 1 1
w warstwie trzeciej.
3. abc.operator.net 0% 14 14 7 6 8 10
4. cisco.provider.net 0% 14 14 11 6 8 21
Omawiając działanie rutera czy swit-
5. host.provider.net 0% 14 14 13 11 14 22
cha często będziemy wspominali
o pliku konfiguracyjnym. Każdy ru-
ter Cisco wymaga dwóch takich pli-
Listing 2. Identyfikacja za pomocą programu Nmap
ków. Jeden z nich opisuje aktual-
ny stan konfiguracji i nazwany jest
# nmap -vv -O -sS cisco.provider.net
running-config. Drugi plik nazwany Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2004-10-01 16:44 CEST
Interesting ports on 192.168.0.2:
startup-config zawiera konfigurację
(The 1654 ports scanned but not show belowe are in state: closed)
wykorzystywaną przy uruchamianiu.
PORT STATE SERVICE VERSION
Trzeba pamiętać, że zmiany w kon-
23/tcp open telnetd Cisco telnetd (IOS 12.X)
figuracji running-config  bez zapi-
79/tcp open finger Cisco fingerd (IOS 12.X)
su w pamięci nieulotnej  nie będą 80/tcp open http Cisco IOS administrative webserwer
Device type: router
uwzględnione przy ponownym uru-
Running: Cisco IOS 12.X
chamianiu urządzenia.
OS details: Cisco IOS 12.0(5)WC3  12.0(16a)
Nmap run completed  1 IP address (1 host up) scanned in 20.591 second
Identyfikacja systemu
Aby atak zakończył się powodze-
niem, intruz musi uzyskać jak najwię- W przedstawionym przypadku wstęp- host ma aktywne usługi HTTP, telnet
cej informacji o jego celu. Identyfika- na identyfikacja jest łatwa (patrz Li- i finger  ten zestaw jest charaktery-
cja systemu nie jest jednak skompli- sting 1). Można przypuszczać, że styczny dla urządzeń Cisco. Skaner
kowanym zadaniem. Powinna skła- host o nazwie cisco.provider.net bę- poda także wiele informacji dotyczą-
dać się z trzech etapów: dzie poszukiwanym przez nas syste- cych używanego oprogramowania,
mem. Wbrew pozorom takie nazew- rodzaju sprzętu oraz wersji systemu
" stworzenie listy hostów w kon- nictwo hostów jest dość popularne, operacyjnego IOS.
kretnej sieci, szczególnie w małych sieciach. W celu ułatwienia obsługi urzą-
" zdobycie informacji o usługach Ruter Cisco zwykle przedstawia dzenia Cisco konfiguruje się za po-
udostępnianych przez wytypo- się w sposób podobny do każdego mocą interfejsu linii poleceń CLI
waną maszynę, innego systemu w sieci. Dość pro- (command line interface). Dostęp do
" sprawdzenie wersji działającego stą, ale dającą dobre efekty meto- rutera można uzyskać przez konso-
systemu operacyjnego (finger- dą identyfikacji IOS w sieci jest tak- lę terminala bądz
wirtualne termina-
printing). że użycie programu Nmap, skanera le, z którymi administrator łączy się
portów z możliwością zdalnego roz- przez klienta usługi telnet lub SSH.
Urządzenia Cisco można spodziewać poznawania systemu operacyjne- Spróbujmy połączyć się z usługą tel-
się zwykle na styku dostawca-opera- go (fingerprinting). Gdy intruz uży- net (patrz Listing 3).
tor. Intruz może więc wykonać prosty je tego narzędzia na wybranym ho- Komunikat User Access Verifi-
test z wykorzystaniem narzędzia mtr. ście (Listing 2) zauważy, że badany cation jest standardowym banerem
2004 Hakin9 Nr 6/2004 www.hakin9.org
23