本文研究了称为“战争拨号”的对组织的计算机网络进行攻击的流行形式。术语“战争拨号”包括利用组织的电话、拨号和专用分组交换机(PBX)系统侵入内部网络和计算资源。在介绍和研究了战争拨号可以采用的不同攻击形式和一些用来执行此类攻击的工具之后,本文研究了可以用来预防此类攻击的措施。
当前,无处不在的联网环境中,出现了各种形式和规模的威胁。而且安全性分析员愿意相信,只要适当地使用了防火墙,您的网络和系统就是安全的,不会被非法利用。事实恰恰相反。在本文中,我将研究一种特别流行的攻击:战争拨号。战争拨号攻击是怀有恶意的,并且是一种旨在避开防火墙和入侵检测系统(IDS)侵入组织网络的形式。战争拨号攻击包括通过拨入访问试图获得组织的内部计算和网络资源访问权。用外行人的话来说,这意味着攻击者拨打组织网络内部的号码来连接到组织的防火墙或边界防御设施后面的系统。本文研究了当今黑客和安全性审计师使用的最常见的网络侵入测试形式。然后,本文精确地研究了需要保护什么以防止战争拨号攻击以及如何实现。本文还描述了两种方法,组织可以采用这些方法以减少使自己暴露于此类攻击的机会。
战争拨号基础知识
战争拨号包括将软件应用程序和调制解调器结合使用,通过持续地拨入来侵入组织的基于调制解调器的系统。为了说明这种攻击的工作原理,我将一个假想的公司 ABDBA CORP 作为目标。ABDBA CORP 本身有相当优秀的 IT 专职人员,并且他们勤奋工作以保护网络系统不受损害。他们有可靠的安全性策略和很好的防火墙,因此他们确信其服务器得到了加强并定期进行审计。但它们真的安全吗?答案是否定的。经验丰富的黑客要不了五分钟就可以侵入 ABDBA CORP。那么,他们的弱点到底在哪里呢?攻击者所要做的就找到组织内的一个用户,他通过 IT 专职人员所不知道调制解调器拥有一个开放的连接。例如,这个用户可能是个经理,她只是想从家里访问自己的文件,因为有时她会在周末把工作带回家去做。在安全性领域中,这个用户称为“危险的用户”(意思是说,他们所知道的足以引起危险,尽管他们本身并无恶意)。为了解决其问题,这个经理在她工作处的 PC 上安装了调制解调器和 pcAnywhere。pcAnywhere 是一种简单的程序,它允许用户通过调制解调器从远程位置拨号到一台 PC 并与之连接。
下图展示了上述设置:一台带有调制解调器的 PC,它连接到一台更完备的设备(如带有用于通过调制解调器拨入访问的带外连接设置的路由器)。带外连接是一种以 Telnet 或 SSH 远程地访问设备的替代方法。区别在于使用带外连接时,您使用控制台端口绕过正常的基础设施来进入设备。
图 1. 对 ABDBA CORP 的战争拨号攻击拓扑结构
研究一下图 1 中展示的拓扑结构,它显示了一种很典型的网络,这种网络的防火墙外面有连接到因特网的外边界路由器。这个路由器向 ABDBA CORP 提供因特网访问以及因特网电子邮件能力。在当前的网络中,就位的防火墙保护内部专用网免受来自公共因特网的攻击是必需的,但正如您所看到的,有一些适当的方法可以绕过现有的安全性措施:即可以从专用网内部通过调制解调器和带外拨号进行访问。接下来,我将分析该攻击。
逐步攻击
黑客启用了一种称为战争拨号器的工具(我将在下一节详细讨论该工具),然后用公共交换电话网(PSTN)通过来自专用网内部的与 PSTN 相关的其它连接来绕过防火墙。表面上,答案看起来很简单:禁止专用网使用任何与 PSTN 相关的连接。遗憾的是,许多时候组织需要这种服务。在图中,防火墙内部的路由器连接着一个调制解调器。这是必需的,因为电话公司或 ISP 用此连接进行维护。在图顶端的 PC 安装了调制解调器和 pcAnywhere 的情况下,这个连接对于 IT 支持人员而言是未知的,因此是对组织网络的严重威胁。
与拨入访问调制解调器相关的风险很明显。象 pcAnywhere 这样的软件包或设置成自动回答的调制解调器将允许来自 PSTN 的未授权访问直接进入您受保护的基础结构。而且,通过使用因特网上可以免费获得的战争拨号器程序(例如,Modemscan、PhoneTag、ToneLoc 等),黑客的攻击方法得到了简化,并且发现易受攻击的调制解调器所需的时间也减少了。因特网上有大量的此类程序可以使用。我将在下面的列表中研究配置用于攻击的战争拨号器应用程序的基本机
制,并在本文的下一节中提供更详细的信息:
黑客选择一个目标,然后获取与该目标对应的电话号码列表。这就和浏览电话簿查找该公司的电话号码一样容易。
黑客使用战争拨号器应用程序,然后输入步骤 1 中得到的电话号码块。一个块只是一组连续的电话号码。如果目标公司的电话号码是 222-1000,那么攻击者会从这个号码开始,将块配置为从 222-1000 到 222-2000。这样就会用战争拨号器拨出 1000 个可能的电话号码。
黑客将战争拨号器设置成开始拨号并等待,直到它完成。然后,黑客从战争拨号应用程序所保留的日志文件或数据库访问应答的号码。
然后,黑客使用远程访问终端尝试拨号和连接到作出应答的设备。也可以从远程或从对于黑客为非本地的控制台完成这个操作以避开检测。
黑客现在拥有了利用到内部网的连接的访问权。黑客攻击就完成了。
战争拨号器配置
作为安全性分析员,完全理解攻击的本质是十分必要的,只有这样,才能从根本上防止它。
在本例中,我将用称为 Modemscan v4.2 的工具研究拨号器配置。拨号器需要配置时间、拨号范围和数据库。某些工具(如 Modemscan)比其它工具更复杂;而例如 PhoneTag 却是一个很不成熟的工具;它所做的一切只是拨号和保存数据库。在图 2中,您可以看到攻击者将 Modemscan 设置为从每天午夜相同时间开始拨号。
图 2. 准备战争拨号器
接下来,攻击者将范围添加到拨号器,如图 3 所示。为了找到这个信息,黑客所要做的是执行“Whois”查询并找出您的组织。这和使用 Verisign 网站(http://www.netsol.com/)查询组织域名一样简单。组织的电话号码十之八九就在注册中心中等着攻击者来获取。
图 3. 添加范围
然后,黑客继续在这个范围内拨号。优秀的黑客知道组织的调制解调器极可能都连接到同一 PBX 号。将范围添加到战争拨号器,然后保存配置。
注:这不是真实的范围,希望您针对自己的防御系统测试这里概述的步骤(当然首先要获得许可!)测试您自己的安全性状况,而不是别人的。
最后一步是构建 Access 数据库来存储号码。假定战争拨号器应用程序在夜间拨了一千个号码。早晨,黑客必须醒来,然后仔细搜索巨大的 .mdb 文件,查找任何应答了的设备。根据所使用的工具,可以有一些选项。Modemscan 允许黑客查看日志,它明确地显示了哪些号码应答过。然后黑客保存这些号码,以用于进一步攻击。接下来说明这种技术。
攻击
某些拨号器提供了更详细的设置,如 Modemscan,它允许黑客从控制台启动实际攻击。在大多数情况下,黑客会希望获取应答号码的日志并小心翼翼地转移到难以跟踪的地方(如学校或图书馆),然后从那里每次使用一个系统启动攻击图 4 中的终端窗口显示了攻击者是如何能够建立连接的。这里出现的标题页提醒攻击者:他已经成功地从某个设备(看起来象是台 Cisco 路由器)获得了登录提示。这向黑客指出:该组织中有人用公司内部的同一电话号码范围将调制解调器连接到路由器。黑客将战争拨号器设置成开始用这个范围的号码进行拨号,如图 4 所示,对每个号码拨打一次,并作为会话记录到日志。当调制解调器应答时,就记下这个号码并输入日志图 4 还显示了当调制解调器真的应答时,会提示您实际上连接到了什么设备上;在本例中,该提示来自于 AUX 端口连接了调制解调器的路由器控制台。
图 4. 用于入侵的拨号
下一步是检查数据库以查找在已拨叫的号码范围中哪些号码提示过路由器对攻击者进行应答。此外,更复杂的工具实际上可以运行对密码的字典攻击来查找和破解访问密码