По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Мы уже рассказывали об опасности атак на системы IP-телефонии, о том, как можно использовать скомпрометированную систему и кому это может быть выгодно.
В данной статье, подробно разберём один из способов атак на системы, работающие по протоколу SIP, через генерацию вредоносного пакета и последующую компрометацию учётной записи.
Вы убедитесь, что провести подобную атаку - совсем не сложно. Инструменты для её осуществления не являются какой-то сверхсекретной разработкой и находятся в свободном доступе.
Цель данной статьи - показать, к чему может привести недостаточное внимание, уделённое вопросам безопасности при настройке систем IP-телефонии и как просто это могут использовать злоумышленники.
Внимание! Информация, представленная в данной статье, носит исключительно ознакомительный характер. Компания Мерион Нетворкс не несёт ответственности за последствия применения техник и способов, описанных в данном материале. Напоминаем, что неправомерный доступ к компьютерной информации преследуется по закону и влечет за собой уголовную ответственность.
Атака, о которой мы поговорим, связана с процессом аутентификации по протоколу SIP, а именно - с получением информации из заголовков SIP пакета и её последующая обработка для извлечения учётных данных. Чтобы понять её суть и определить, какие системы уязвимы к данной атаке, нужно вспомнить как происходит SIP аутентификация.
Как показано на рисунке:
Клиент отправляет запрос регистрации на сервер;
Сервер сообщает о необходимости зарегистрироваться и запрашивает данные для аутентификации;
Клиент повторно отправляет запрос регистрации, но на этот раз со строкой Authorization, в которой указаны учётные данные;
Сервер проверяет учётные данные в локальной базе и если есть совпадения – разрешает регистрацию.
В стандартном процессе SIP аутентификации все запросы клиентов и ответы от сервера идут в строгой последовательности. Пользователь просто вводит учётные данные и клиент сам формирует пакеты для отправки на сервер, которые он может обработать. Если учётные данные не верны, то сервер не разрешит регистрацию и дальнейшее взаимодействие для осуществления звонков.
Однако, злоумышленник, используя специальные инструменты, может сам решать какие отправлять пакеты и более того - осуществлять их формирование.
Наверное, Вы догадались, что ключевым моментом процесса SIP аутентификации является отправка клиентом повторного запроса REGISTER, который также содержит учётные данные для регистрации на сервере. Как раз в этот момент, наш потенциальный злоумышленник и нанесёт свой удар.
Давайте рассмотрим, что из себя представляет строка Authorization в повторном запросе REGISTER.
Как видно на рисунке, заголовок Authorization включает в себя следующие поля:
Authentication Scheme - метод аутентификации;
Поскольку SIP многое унаследовал от протокола HTTP, то и схема аутентификации в нём основана на HTTP аутентификации, которая также называется Дайджест (Digest) аутентификация. Эта схема применяется серверами для обработки учётных данных от клиентов. При этом, часть учётных данных передаётся в виде хэш-сумм, которые сервер комбинирует с открытыми данными и вычисляет пароль для данного клиента. Это значительно повышает уровень безопасности, но как мы убедимся в дальнейшем – не помогает при некорректной настройке учётной записи.
Username - имя пользователя, заданное на сервере. В нашем случае – это внутренний номер 3354;
Realm - параметр, определяющий подключение к серверу телефонии;
Как правило, администратор VoIP сервера сам настраивает realm и транслирует его пользователю, который хочет осуществить подключение. Например, у провайдеров облачных услуг это может быть строка вида domain.com, в сервере Asterisk, по-умолчанию значение этой строки - asterisk.
Nonce Value - рандомно сгенерированная сервером, уникальная строка, при формировании ответа 401 в сторону клиента. В дальнейшем используется сервером в вычислениях после получения учетных данных от клиента, должна совпадать с тем, что пришло от сервера;
Authentication URI - унифицированный идентификатор ресурса. В нашем случае, ресурсом является сервер, расположенный по адресу 123.45.67.89, обращение к нему происходит по протоколу SIP, по порту 5060.
Digest Authentication Response - ответ от клиента, посчитанный на основании данных, полученных от сервера. На основании этого значения сервер в том числе сверяет пароль, который задан клиенту.
Согласно RFC 2069, который описывает HTTP дайджест аутентификацию, response вычисляется следующим образом:
HA1 = MD5(username:realm:password)
HA2 = MD5(method:digestURI)
response = MD5(HA1:nonce:HA2)
Как видите, на основании MD5 хэш-сумм полей: username, realm, password (да, это пароль клиента), method, digestURI и nonce высчитывается тот самый заветный response, от которого зависит регистрация клиента на сервере, а следовательно, и возможность осуществлять им вызовы.
Algorithm - алгоритм, по которому высчитывался response
Догадываетесь о чём идёт речь? О том, что если злоумышленник заполучит полную строку Authorization, то он может вычислить пароль клиента, зарегистрироваться на сервере и спокойно звонить куда ему вздумается.
Пространство для данной атаки достаточно обширное. Дело в том, что клиент может передавать строку авторизации в нескольких запросах – в уже известном нам REGISTER, INVITE или BYE.
Атакующему не составит труда притвориться “сервером” и затребовать от клиента аутентификации. Для этого, атакующий направит в сторону клиента, созданный с помощью специальной программы вредоносный SIP пакет с ответом 401 Unauthorized, который будет содержать строку, заставляющую клиента отправить учётные данные. Данная строка должна содержать realm и nonce . Выглядит эта строка следующим образом:
Таким образом, атака может выглядеть следующим образом:
С точки зрения атакуемого, это будет выглядеть как простой звонок, на другой стороне трубки которого будет тишина. Он даже не будет подозревать о том, что его учётные данные вот-вот утекут к злоумышленнику. Атакующий в нужный момент разорвёт соединение, отправив BYE и затем сформированный вредоносный пакет.
Нагляднее всего приводить в пример прямое взаимодействие между клиентами. Такой сценарий становится, когда есть возможность отправлять SIP запросы напрямую до оконечного клиента. Например, когда телефон выставлен в открытую сеть по SIP порту. Помимо этого, уязвимости подвержены сервера, разрешающие прямое взаимодействия между оконечными клиентами. Лучше всего, пропускать все запросы через Proxy-сервер.
Итак, данной атаке могут быть подвержены:
IP-телефоны с открытыми в интернет SIP-портами;
IP-телефоны, отвечающие на запросы INVITE от неизвестных серверов;
IP-АТС, разрешающие запросы INVITE напрямую до клиентов.;
Заполучив полную строку Authorization атакующий может в оффлайн режиме подобрать пароль к учётной записи. Для этого ему нужно подать на вход специального скрипта, который перебирает хэш-суммы по словарям, перехваченные данные: username, realm, method, digestURI, nonce и наконец - response. На выходе он получит пароль от учётной записи. Если пароль слабый или, ещё хуже, совпадает с username, то время перебора не превысит 1 секунды.
Чтобы этого не случилось, даже если злоумышленник перехватит необходимую информацию, используйте стойкие пароли к учётным записям, да и вообще везде, где только можно. В этом Вам может помочь наш генератор паролей.
В последние несколько лет всё чаще появляется информация об очередных хакерских атаках, направленных на сетевое оборудование различных производителей. И если оборудование класса Enterprise, такое как Cisco, Juniper, Extreme, HP и так далее, обычно обслуживается армией высококвалифицированных специалистов, которые постоянно проводят обновления и закрывают “дыры”, то с оборудованием класса SOHO (MikroTik, Netgear, TP-Link, Lynksys) дела, зачастую, обстоят совсем иначе. А ведь недостаточное внимание, уделяемое сетевому оборудованию, может нанести вред любому бизнесу.
В данной статье мы хотим рассказать о ещё одном крайне действенном способе защиты оборудования MikroTik, которое не потребует о вас больших усилий в настройке и будет само автоматически обновлять свою конфигурацию без вашего вмешательства.
Предыстория
В конце марта 2018 года появилась информация о хакерской активности, которая как раз направлена на SOHO сегмент. В частности – на роутеры MikroTik под управлением RouterOS ниже версии v6.38.5. Суть заключалась в том, что некий хакерский ботнет сканировал множество публичных IP-адресов на предмет открытых портов 80 (www) и 8291 (WinBox), чтобы по ответам оборудования определить, что это RouterOS, а также выяснить его версию. Тогда производитель заявил, что уязвимость реализации протокола www (80), которую можно было бы использовать, была закрыта ещё в марте 2017 версией v6.38.5 и рекомендовал всем обновиться, а также отключить небезопасный сервис www. Нужно отметить, что ботнет только собирал информацию, никаких атак не предпринималось.
Внимание! Если на вашем роутере MikroTik установлена версия прошивки ниже v6.38.5, мы рекомендуем незамедлительно произвести обновление до последней актуальной версии. Как это сделать, вы можете почитать в нашей статье. Также, рекомендуем закрыть сервис www и настроить доступ к WinBox только с доверенных IP-адресов более подробно о том как это сделать читайте здесь.
А совсем недавно на сайте подразделения Cisco, которое занимается кибербезопасностью - Talos, появилась информация о вредоносном программном обеспечении, которое использует ту самую уязвимость. Оно получило название VPNFilter, хоть и не имеет ничего общего с VPN туннелями. Вероятно потому, что после заражения оно создаёт директории /var/run/vpnfilterw и /var/run/vpnfilterm для дальнейшей работы.
По самым поверхностным оценкам, вредонос способен красть пользовательские данные и данные вэб-приложений, устанавливать без ведома пользователя модули, которые взаимодействуют с серверами в сети Tor, а также полностью выводить оборудования из строя посредством изменения критически важных файлов прошивки. До конца вредонос ещё не изучен и актуальные данные по нему всё ещё поступают. Пока известно о том, что уязвимости подвержено всего 3 модели оборудования MikroTik -1016, 1036 и 1072, но защитить другие модели будет не лишним.
Настройка
Итак, перейдём собственно к тому самому универсальному методу защиты, о котором мы упомянули вначале. Данный метод основан на простом блокировании заведомо вредоносных IP-адресов, которые были замечены в подозрительной активности (сканнирование, брутфорс, неудачные попытки доступа к различным сервисам) но только не вручную, а в автоматическом режиме. Существует много открытых ресурсов, которые собирают информацию о таких “чёрных” IP-адресах и генерируют актуальные списки, которые мы можем просто загружать на наш роутер с помощью нехитрого скрипта.
К таким ресурсам относятся:
Blocklist.DE - бесплатный открытый ресурс, созданный специалистами, чьи сервера часто подвергаются различного рода атакам, таким как атаки ssh, почтовых и файловых сервисов, вэб-серверов и другое. IP-адреса атакующих заносятся в список и выкладываются в общий доступ;
dshield.org - генерирует списки из топ-20 подсетей, из которых за последние 3-е суток совершалось наибольшее число атак;
Spamhaus - генерирует списки IP-адресов, замеченных в “спаммерской” активности, а также “угнанных” устройств, с помощью которых также осуществляется вредоносная деятельность;
Итак, чтобы нам заблокировать адреса из этих списков, нужно сначала создать блокирующее правило на нашем роутере. Для этого подключаемся к нашему MikroTik и даём в консоль следующие команды:
ip firewall raw add chain=prerouting src-address-list="sbl dshield" action=drop comment="sbl dshield"
ip firewall raw add chain=prerouting src-address-list="sbl spamhaus" action=drop comment="sbl spamhaus"
ip firewall raw add chain=prerouting src-address-list="sbl blocklist.de" action=drop comment="sbl blocklist.de"
Тем самым, мы создали 3 правила, которые будут блокировать подключения к нашему роутеру из списков каждого ресурса соответственно – dshield, spamhaus и blocklist.de.
Теперь нужно настроить автоматический загрузчик, который будет обращаться на данные ресурсы за актуальными списками и загружать их в конфигурацию роутера. Для этого через WinBox откроем вкладку System → Sheduler → +
И создадим задачу на проверку обновления списков вредоносных ресурсов начиная с полуночи следующего числа каждые 12 часов. Обращение будет происходить посредством простого http запроса к ресурсу www.squidblacklist.org/downloads/drop.malicious.rsc. Для этого в поле On Event напишем простой скрипт:
/tool fetch address=www.squidblacklist.org host=www.squidblacklist.org mode=http src-path=/downloads/drop.malicious.rsc
Мы будем обращаться к ресурсу www.squidblacklist.org, потому что его специалисты любезно скомпоновали списки с dshield, spamhaus и blocklist.de в одном месте и нам не придётся писать скрипт обращения для каждого ресурса.
Должно получиться как то так:
Теперь создадим ещё одну задачу на импорт списка в конфигурацию роутера, спустя минуту после того, как отработает проверка актуальности списков из первой задачи. На этот раз в поле On Event напишем:
:log warning "Disabling system Logging";
import drop.malicious.rsc
/system logging enable 0
Теперь наш роутер будет автоматически запрашивать актуальные списки вредоносных IP-адресов и добавлять их в блок. Вы так же можете использовать другие открытые ресурсы, на которых публикуются списки опасных IP-адресов.
В эпоху автоматизации люди все время ищут средства для эффективного выполнения задач. А почему бы и нет, каждая секунда имеет значение!
Аналогично, если вы пользуетесь Unix-подобной операционной системой, планировщик Cron очень экономит время за счет автоматизации рутинных задач. Давайте кратко разберем, как это работает, а затем изучим некоторые облачные решений для мониторинга самого Cron.
Так, что же такое Cron и с чем его едят?
Планировщик Cron - это служебная программа, которая выполняет заранее запланированные сценарии или команды на сервере. Эта команда встроена в запланированное время и дату для автоматического выполнения без выполнения вручную.
Кроме того, планировщик Cron точно реализованы для автоматизации повторяющихся задач, таких как удаление файлов за неделю, перезагрузка сервера или выполнение некоторых других функций.
Основные элементы задания Cron
Планировщик Cron работает поверх трех важными компонентов:
Сценарий - сценарий является первым составляющим Cron, которое вызывается для выполнения.
Расписание - когда запускать указанные сценарии.
Действие - это ход вывода, который происходит после окончательного выполнения.
Типы заданий Cron, требующих мониторинга
Отсутствие уведомлений о статусе заданий Cron может не иметь сиюминутных последствий, но может помешать работе системы в долгосрочной перспективе. Вот некоторые из заданий Cron, которые обычно остаются незамеченными если не использовать эффективную службу мониторинга:
Резервные копии
Обновление SSL-сертификата
Антивирусное сканирование
Динамические обновления DNS
Перезагрузка сервера
Преимущества мониторинга статуса заданий Cron
Помимо контроля за своевременным выполнение запланированных заданий Cron, службы мониторинга предоставляют следующие практические преимущества:
Планирование заданий - можно запланировать любые задания доступные через планировщик Cron прямо из панели управления сервиса;
Мгновенные оповещения - если какое-либо приложение или процесс задания занимает больше времени, чем ожидалось, то эти службы будут выдавать мгновенные оповещения.
Metric Insights - вы можете отслеживать все метрики по заданиям и оптимизировать их выполнение.
Теперь давайте рассмотрим некоторые облачные средства мониторинга Cron.
1. HealthChecks
Простота и эффективность HealthCheck делают его одним из лучших вариантов для мониторинга заданий Cron. Она предоставляет еженедельные отчеты по триггерам оповещений, сбоям в выполнении запланированных задач, сбоям резервного копирования и многом другом.
Еще одна впечатляющая вещь в HealthCheck заключается в том, что он предлагает уникальный URL для каждой задачи, для которой включен мониторинг. Вы можете легко проверять запросы на обслуживание по HTTP или отправлять сообщения по электронной почте.
Применение HealthChecks для мониторинга cron уменьшит количество автоматических сбоев. Сервис располагает удобной панелью мониторинга с интерактивным обновлением, которая предоставляет подробные сведения обо всех предупреждениях или проверках. Можно также назначить имена или теги всем проверяемым службам, что в конечном итоге поможет легко распознать их при необходимости.
Она поставляется с простой конфигурацией с параметрами "Grace Time" и "Period" для указания различных аспектов или состояния мониторинга. Он позволяет добавить подробное описание для каждого задания Cron.
Для выполнения дальнейших действий можно добавить указатели и заметки. Кроме того, можно просмотреть историю отправленных или полученных сообщений ping. Другие функции включают в себя публичные значки состояния, поддержку выражений Cron и интеграцию с Slack, Email, WebHooks, Microsoft Teams и т.д.
2. Cronitor
Cronitor поможет вам более удобно планировать задачи с помощью быстрых оповещений. Он работает с несколькими заданиями Cron, такими как запланированные события AWS, планировщик заданий Microsoft, планировщик Jenkins, Kubernetes Cron, Java Cron и многое другое.
Мониторинг контрольного сигнала позволяет получить представление о состоянии конвейеров данных, фоновых заданий, демонов, сценариев, ETL-заданий и других. Его легко можно использовать для любого языка и на любой платформе. Сервис обладает гибкими настройками политик и правил оповещения.
Cronitor также предлагает мониторинг времени безотказной работы для веб-сайта, API, S3 объектов Amazon (корзин) и т.д.
3. Cronhub
Cronhub устраняет необходимость в написании любых кодов для планирования и контроля фоновых заданий. Вам просто нужно сконцентрироваться на своих приложениях и позволить им планировать ваши задачи. Вы получаете мгновенные предупреждения о всех аспектах мониторинга, как только появится отклонение от нормы в любом из запланированных задач.
Поддерживается планирование заданий с использованием выражений Cron или временных интервалов. Для этого достаточно задать API или целевой URL-адрес, который будет выполняться в задании. Затем Cronhub отправляет HTTP-запрос на указанный API или целевой URL.
Если расписание будет прервано по какой-либо причине, Cronhub немедленно отправит предупреждения через настроенные каналы, в число которых входит SMS, Slack, Email и другие.
Помимо этого, Cronhub также помогает отслеживать информацию о запланированных заданиях, обеспечивает поддержку команды, доступ к журналу. Это в конечном итоге поможет вам найти лазейки в приложении вместе с заданиями в фоновом режиме.
4. Dead Man’s Snitch
Еще один сервис, который на русский язык переводится довольно забавно "Стукач Мертвеца" Dead Man’s Snitch завоевал рынок, во время бума служб мониторинга планировщика Cron. Он больше ориентирован на задания вроде выставления счетов или резервного копирования, которые не были выполнены в соответствии установленным графикам.
Dead Man's Snitch гарантирует, что разработчики и пользователи будут следить за работой Cron так, как они ожидали. С помощью этого сервиса можно контролировать Cron, Heroku Scheduler и другие планировщики. Для уведомления о сбоях в работе может использоваться любой HTTP клиент, например, cURL.
cURL - это фрагмент, добавляемый как суффикс к концу строки Crontab. Он предлагает запрос к Dead Man 's Snitch, чтобы проверить, выполняется ли задание или выполняется ли оно должным образом или нет. Для различных заданий, вы можете изменить Snitch URL, чтобы знать результаты мониторинга для каждого из них по отдельности.
Другой интересной особенностью является добавление к заданию функции "Полевой агент". Можно загрузить и установить его для улучшения результатов мониторинга вместе с метриками и записями данных. С его помощью можно проверить журналы ошибок заданий Cron, чтобы найти лучшее разрешение для них.
Эти функции являются идеальным сочетанием для обеспечения лучшего отслеживания фоновых заданий. Его цены начинаются всего от 5 долларов в месяц для трех "доносчиков" и неограниченных членов команды.
5. CronAlarm
CronAlarm - это универсальный концентратор, помогающий получить представление о надежности и производительности запланированных задач с минимальными сложностями.
Лучшее в CronAlarm это поддержка каждого Cron задания с возможностью доступа к URL без особых хлопот. Обо всех фоновых заданиях приложений, будь то выполняющиеся слишком быстро или медленно, либо с опережением, или с отставанием, сообщается и пользователям.
Существует несколько платформ интеграции для оповещения пользователей, включая электронную почту, Slack и webhooks. Необходимо предоставить CronAlarm информацию о расписаниях работы, таких как время запуска, продолжительность выполнения и т.д.
Он назначает определенный ключ API различным заданиям. Чтобы начать работу со службой мониторинга CronAlarm, необходимо просто добавить ключ API или вызов в начале или конце URL. Вы также можете обратиться к CronAlarm чтобы получить более функциональный API, оснащенный интегрированными функциями для более эффективного решения проблем.
6. WebGazer
Web Gazer помогает планировать задачи и выполнять мониторинг всех выбранных заданий Cron для отслеживания производительности.
В Web Gazers не посылает ложные аварийные сигналы, так как инциденты проверяются в течение нескольких секунд перед отправкой предупреждения пользователю. Кроме того, Web Gazer обеспечивает квитирующий мониторинг (heartbeat monitoring), мониторинг SSL.
Его план начинается с $19/месяц, а также доступна бесплатная версия со всем основным функционалом.
Заключение
За автоматизацией будущее.
Планирование и мониторинг заданий Cron помогают эффективно выполнять задачи. В противном случае, как бы вы узнали, что выполняются ли запланированные операции подобающим образом или нет? Но к счастью, вышеуказанные решения, в конечном итоге, помогут вам оптимизировать задачи и устранить недочёты, мешающие работе пользователя.