【IT168 专稿】随着网络技术的飞速发展,中小企业已经不局限于路由器,交换机,服务器这些基本网络产品,注入入侵检测系统,NAS产品,IPS安全产品等多种网络设备进入到众多中小企业内部网络中。然而身为企业网络管理员的你是否知道这些产品在为企业网络提供服务的同时也为企业网络带来了众多安全隐患呢?要知道他们的问题解决起来将非常麻烦,难度大大高于传统的路由器交换机以及服务器。今天就请各位跟随笔者一起来看看企业内部网络中的又一个安全隐患窝点——网络多功能产品。
一,网络多功能产品的安全特点:
众所周知对于企业传统网络产品服务器来说我们只需要安装适当的防火墙,开启系统自动更新及时安装操作系统的补丁程序弥补漏洞即可,这些安全策略可以保证服务器安全级别非常高。而对于路由器交换机等产品来说他的漏洞要少得多,及时关注相关厂商发布的IOS升级驱动程序即可,相比服务器补丁来说IOS升级周期比较长,牵扯我们的精力也比较少。
然而企业内部的网络多功能产品在安全方面的表现则与服务器,路由器,交换机相去甚远。一方面很多网络多功能产品的内核都是不开放的,大部分使用的是Linux系统或Unix系统,而且这些系统程序都是以硬件的形式写到固件中的,使用者无法像操纵Linux系统那样针对网络多功能产品进行设置,另外正是因为这种系统的不开放性造成了网络管理员无法按照常规方法对网络多功能产品进行安全防护以及系统升级弥补漏洞等操作,除了寻求厂商的技术支持进行定期升级外没有更好的办法,这也为网络多功能产品埋下了安全隐患的炸弹,一旦厂商技术支持停止或者采取收费方式提供又或者厂商倒闭人去楼空,那么网络多功能产品将无法再弥补后续补丁,漏洞也无法继续修复,这样带来的安全问题将是巨大的。
因此正是由于网络多功能产品的安全特性造成随着使用年份的增加,越来越多的网络多功能产品成为企业内部网络中的安全炸弹,这点要引起我们这些网络管理员足够的重视。下面笔者就从实例出发让我们看看网络多功能产品这枚安全炸弹是如何隐藏在网络中并爆发的。
二,从实例出发品评网络多功能产品的安全隐患:
笔者所在企业在2005年购买了一款NAS网络存储产品,他的型号是1000U,属于清华诚志公司的产品,这个NAS的存储空间并不是很大,一共能够容纳240G数据的存储,内部有五块硬盘,每块80G,通过RAID5建立数据保护冗余关系。平时我们可以通过WWW页面来管理该设备,由于该设备生产时间比较早,所以没有为我们提供任何登录设备进行管理的界面和功能,也就是说我们无法像操纵服务器那样进入系统桌面或执行各种指令。(如图1)
(1)固件版本“老态龙钟”:
正如前面所说我们只能够通过WEB页面来管理该设备,查询该产品的“系统信息”我们知道了系统版本是2.08-1.0254,该系统版本对应的出版日期是2003年9月15日,至今已经有5年了一直没有更新。相比其他网络产品的升级与更新,这个产品的固件显得“老态龙钟”。(如图2)
(2)安全扫描“千窗百孔”:
为了检测该产品的安全漏洞笔者使用安全扫描工具X-SCAN进行了安全检测工作,扫描结果和笔者猜测的一样,由于五年没有进行任何升级更新操作,所以产品的安全漏洞“千窗百孔”。(如图3)
从扫描结果我们看出该产品漏洞数量8个,警告数量13个,提示数量14个,开放的服务包括HTTPS,WWW,networked file system,sunrpc以及ftp与AFP OVER TCP。另外从软件提示看有很多都是红色的安全漏洞提示,说明这些问题都是致命的。(如图4)
(3)漏洞1让管理目录“显而易见”:
在扫描出的漏洞中我们可以看到其中一个中级漏洞就是WWW对应的80端口带来的,非法入侵者可以通过目录扫描器找到远程主机上存在的各普通目录。笔者扫描后就能够发现远程主机存在有以下几个目录——/error, /home, /images, /javascript, /login, /personal, /system, /tree。了解了这些目录后我们可以通过IP地址加目录名的方式访问,从而进一步了解到主机信息,例如通过/tree目录可以看到管理界面中各个选项。(如图5)
(4)拒绝服务让NAS产品“寿终正寝”:
由于该产品是NAS设备,平时为企业内部各个员工提供数据存储,所以笔者在其上开启了FTP服务,平时通过FTP登录工具可以访问其中的资源。(如图6)
然而通过扫描漏洞结果显示出该设备存在着“拒绝服务”的攻击漏洞,非法入侵者可以通过发送拒绝服务攻击数据包造成NAS设备的罢工,从而让存储服务“寿终正寝”。这个漏洞也是由于该产品使用的apache版本过低造成的,扫描结果显示该网络产品的apache仅仅是1.X版本,要知道现在最新的apache是2.2.4版本,差别这么大自然漏洞会很多。我们找到一个apache Ddos攻击软件,然后添写网络产品的IP地址后点“攻击”按钮发送攻击数据包。(如图7)
攻击发送后我们的网络产品马上拒绝任何网络服务了,再次使用FTP登录软件连接该产品时我们得到的仅仅是“连接失败(连接丢失)”的错误提示,这说明该产品目前无法提供任何网络服务了,Ddos攻击生效。(如图8)
(5)技术支持“走投无门”:
正是因为网络产品在系统更新与安全更新的保密性,使得企业网络管理员无法通过自身的操作来解决上述网络产品漏洞,因此我们不得不寻求产品的技术支持来解决此问题。我们进入到NAS管理界面的“工具箱->系统更新”选项,这里提示我们选择“系统更新文件和文件名及路径”,然而我们手头没有这些更新数据包,在该界面还罗列了这样的字样——您可以从http://www.siny.com.cn取得最新的更新文件及其他系统更新的信息。(如图9)
按照提示信息我们访问http://www.siny.com.cn以及www.siny.com.cnllll得到的结果都是“该页无法显示”,看来所谓的技术支持站点已经不付存在。(如图10)
最后我们只得查看“系统信息->关于”中的信息来了解产品基本技术支持情况,在基本信息中我们找到了synology以及群恚科技股份有限公司的信息。(如图11)
我们通过网络搜索synology以及群恚科技股份有限公司的信息找到了该公司的网站,然而在“支援与下载”处却没有看到有我们的产品清华诚志1000U升级程序的踪影,而且该公司看来是一个跨国公司在全球各大洲都有经营和销售。(如图12)
最后我们再次搜索清华诚志公司的信息希望能够通过清华诚志找到技术支持方面的信息,令人遗憾的是清华诚志网站是找到了,但是他的“产品浏览”下的信息已经清楚的告诉我们计算机产品和他们已经没有任何关系了,该公司已经改行做生物制品以及医药产品了。(如图13)
(6)最终解决办法:
最后我们也没有能够找到该产品的升级补丁,如果继续使用恐怕还会轻易的被非法入侵者攻击造成拒绝服务的问题,更有甚者还可能有其他漏洞出现,如果被非法入侵者进入到NAS产品中查看公司隐私资料删除绝密文件的话后果将不堪设想,因此为了避免同类问题的发生我们只能够将这个NAS产品打入冷宫不再使用了。公司购买了新的网络存储产品投入使用。
三,总结:
笔者希望通过本文让各位IT168的读者重视自己企业内部的网络产品安全性,要知道服务器,路由器,交换机这些大家常见产品的安全防范非常容易,对于合格网络管理员来说他们的安全不容质疑,也不会为企业网络带来任何安全问题,然而真正有问题的却是那些第三方或者没有开放固件共享的网络产品,即使是再优秀的网络管理员面对这些产品也无能为力,我们能够做的就是在技术支持厂商没有消失前做好补丁更新漏洞弥补等工作,并随时通过安全扫描工具检测他们的安全问题,发现问题后直接联系技术支持厂商马上解决,如果没法解决的话为了企业的网络安全应该尽快停止产品的使用。总之就笔者经验来说目前企业内部网络最大的安全隐患窝点就要属如今各种各样的网络多功能产品了,希望各企业网络管理员对他们做好必要的防护,不要让他们成为黑客攻击者入侵企业网络的跳板。
