информационни ресурси за бизнеса
физическа защита |  контрол на достъпа |  видеонаблюдение |  информационна сигурност |  пожарогасене |  СОТ |  оръжейни системи
Infoweek
анализи
Мрежовата сигурност се подобрява чрез сигурността на рутера
От: InfoWeek, анализи
Проблемът е в „сливането” на публичната и частната му страна
11:49 2-07-2012
Маршрутизаторите по определение имат множествена природа. Един етернет порт е свързан към външния свят, четири (обикновено) етернет порта осигуряват интернет достъп до свързани устройства чрез LAN мрежа, а радиопредавател предлага достъп до Wi-Fi клиенти.

Всяко устройство, свързано в TCP/IP-базирана мрежа (а почти всички мрежи използват TCP/IP за комуникация), има уникален номер, наречен IP адрес. IP адресите са съставени от 32 бита и се изписват с четири числа – всяко между нула и 255 – които се отделят с точки. Такъв IP адрес е например  192.168.1.1. Можете да въвеждате IP адреса директно в адресната лента на уеб браузер, за да посетите даден уебсайт.

Повечето IP адреси са в публичния интернет, но някои са 

запазени само за вътрешна употреба 

С други думи, всеки може да използва общи адреси само за вътрешно ползване в LAN мрежата без всякакво объркване. 

Най-често използваните вътрешни IP адреси започват или с 192.168, или с 10. Компютър, свързан към вътрешен етернет порт на маршрутизатор, може да разпознава маршрутизатора с IP адрес 192.168.0.1 например. Милиони маршрутизатори в

 

милиони LAN мрежи 

могат да използват този IP адрес, тъй като има гаранции, че те никога няма да отидат от другата страна към интернет. Маршрутизаторите се предоставят с вътрешен IP адрес по подразбиране и собственикът на маршрутизатор може да го към всякакъв вид адрес, който е само за вътрешно ползване. 

Маршрутизаторът използва друг IP адрес – публичен – когато комуникира в интернет. Притежателят на маршрутизатора не може да контролира публичния IP адрес, тъй като той се определя от 

доставчика на интернет, 

който свързва маршрутизатора към интернет мрежата.  

Всички компютри в LAN мрежата имат един и същ IP адрес за външния свят. Можете да мислите за маршрутизатора като за публичен говорител на всички компютри в LAN мрежата. Както вече вероятно сте се досетили, проблемът със сигурността, който имат някои маршрутизатори, се поражда от „сливането” на публичната и частната им страна.

Публичният IP адрес трябва да бъде видим 

само за компютър, свързан към интернет, 

а частният IP адрес – за компютри в LAN мрежата, независимо дали са безжично или кабелно свързани. 

Ако тази бариера не се постави, лошите хора в интернет биха могли да се свържат с него. А ако това стане, вече има голям проблем.

Маршрутизаторите се конфигурират чрез вътрешни уебсайтове – не сайтове в интернет. За да се модифицира маршрутизатор, компютър в LAN мрежата се свързва с 

вътрешния уебсайт по IP адрес 

Например можете да изпишете в адресната лента на уеб браузер http://192.168.0.1 и след това да се впишете с потребителско име и парола.

Маршрутизаторът обикновено се адресира само чрез вътрешния IP адрес. Така само компютри в LAN мрежата могат да правят промени в него.

Всеки уебсайт, с който комуникирате, знае публичния IP адрес на маршрутизатора ви. И разбира се, 

това го знае и вашият интернет доставчик 

Няколко неща обаче предотвратяват достъпа на външен човек до маршрутизатора.

На първо място това е защитната стена на маршрутизатора, която обикновено спира непоискания входящ трафик. Наред с това, маршрутизаторите могат да бъдат администрирани отдалечено. Хората, които не разбират от технологии, биха могли да позволят на дистанционните си специалисти помощници да се вписват като администратори на маршрутизатора. Обикновено отдалеченото администриране е деактивирано.   

Компютрите в LAN мрежата би трябвало да са ограничени в достъпването на маршрутизатора 

чрез вътрешния му IP адрес – 

нещо, което уебсайтовете не могат да научат. Когато уебсайтовете могат лесно да научат публичния ви IP адрес, зловреден код би могъл да позволил на злонамерен човек да се впише за управление на маршрутизатора.

Още по-лошо е, че твърде много хора не променят паролата по подразбиране на маршрутизатора си. Киберпрестъпниците имат готов достъп до пароли по подразбиране на маршрутизатори и могат да разпознават в някаква степен кой маршрутизатор използвате. 

Лесно е да тествате дали маршрутизаторът ви е 

уязвим срещу такава атака

Можете да научите IP адреса си от много уебсайтове като checkip.dyndns.com. Просто въведете адреса в любимия си уеб браузер и вижте какво ще стане. Например, ако публичният IP адрес е 1.2.3.4, опитайте се да влезете с http://1.2.3.4 (няма точка в края на IP адреса).

Ако ви бъде поискано потребителско име и парола, маршрутизаторът ви е уязвим на този тип атака. Ако получите грешка, че уебстраницата не може да бъде заредена, 

можете да бъдете спокойни

От техническа гледна точка атаката е нова форма на атаката DNS rebinding. Атаката разчита на факта, че един-единствен уебсайт може да има множество IP адреси. Когато за първи път посетите зловреден сайт, компютърът получава два IP адреса за този сайт. Първият е легитимен, вторият – не, това е публичният ви IP адрес. След това чрез кешинг трикове и умишлено генерирани грешки зловредната уеб страница мами компютъра ви да достъпи това, което смята за алтернативния IP адрес на зловредния сайт, а всъщност е 

публичният IP адрес на маршрутизатора ви   

Не е необходимо да е активирана отдалечената администрация, за да сработи тази атака. Нужно е само потребителят вътре в таргетираната мрежа да посети контролиран или вече компрометиран уебсайт. Не съвсем явно е, че атаката действа независимо от уеб браузера или операционната система на жертвата. Атаката е насочена срещу маршрутизатора – именно там е уязвимостта. 

Атаката включва също JavaScript, който по принцип е ограничен само до свързване с уебсайта, от който идва. Но заради 

експлойта DNS rebinding 

уеб браузерът мисли, че маршрутизаторът ви е част от зловредния уебсайт. Следователно на JavaScript е позволено да манипулира маршрутизатора ви.

Най-лесната защита

срещу подобни атаки е да не се използва паролата по подразбиране на маршрутизатора. Променете я с нещо, което не може да бъде отгатнато, съветват експертите. Колкото по-дълга е паролата, толкова по-добре. И не забравяйте, че не бива да използвате дума от речника.

Ако маршрутизаторът ви е уязвим, проверете дали производителят няма по-нов фърмуер, който може да оправи проблема.

Всеки нов маршрутизатор трябва да бъде тестван

за този проблем веднага след закупуването му, докато все още може да бъде върнат.

Макар и не директно свързано с този проблем, експертите съветват отдалеченото администриране на маршрутизатора наистина да бъде изключено. 

Ако използвате Wi-Fi, проверете дали маршрутизаторът може да ограничи административния достъп до кабелните връзки. Това ще спре достъпа на всички потребители с безжична връзка до маршрутизатора.

WEP протоколът (Wireless Encryption Protocol) създава споделен ключ

между клиентите (мрежовите карти) и безжичния маршрутизатор. След това използва ключа, за да криптира и декриптира данните, преминаващи между тях. Повечето маршрутизатори предлагат както 64-битово криптиране, така и 128-битово криптиране. За 64-битово криптиране обикновено се използва 10-цифрен ключ, а за 128-битовото – 22-цифрен. Ако не знаете този номер, не можете да влезете в безжичната мрежа.

Защитеният достъп към Wi-Fi чрез предварително обменени ключове WPA – PSK (Wi-Fi Protected Access Pre Shared Key) е Wi-Fi стандарт, който подобрява сигурността на WEP протокола. За да се използва WPA – PSK, се задава споделен ключ, или парола. Чрез TKIP протокол (Temporal Key Integrity Protocol) WPA-PSK автоматично променя ключовете през предварително определен интервал, което затруднява много повече хакерите да ги разкрият и използват. 
Присъедини се и сподели: Facebook Twitter RSS Изпрати
Акцент:
Най-ново от анализи
Gartner: Топ 10 стратегически технологични тенденции за 2014
11:41 21-05-2014
Gartner: Топ 10 стратегически технологични тенденции за 2014
Настъпва епохата на личния облак
Всеки исландец получи безплатно дигитална валута
14:28 26-03-2014
Всеки исландец получи безплатно дигитална валута
Ауроракойните са третата най-популярна криптовалута в света
E-система за събиране на публични вземания стартира в НАП
11:36 16-12-2013
E-система за събиране на публични вземания стартира в НАП
Редуцира времето за подготовка на отчети от 1 месец на 1 час
  Най-четено от анализи
11:36 16-12-2013 E-система за събиране на публични вземания стартира в НАП
11:41 21-05-2014 Gartner: Топ 10 стратегически технологични тенденции за 2014
11:21 16-12-2013 Как компютингът в облака ще промени бъдещето на ERP?
14:28 26-03-2014 Всеки исландец получи безплатно дигитална валута
11:10 16-12-2013 Как ще изглежда CRM през 2015 г.?