Zyxel NWA1123-AC-PRO. Тестируем защищенность

 АНДРЕЙ БИРЮКОВ, ведущий эксперт по информационной безопасности, abiryukov@samag.ru

Zyxel NWA1123-AC-PRO
Тестируем защищенность

Каждый день публикуются сообщения о новых найденных уязвимостях в различных устройствах. В этой статье мы протестируем защищенность точки доступа Zyxel NWA1123-AC-PRO

Сегодня на рынке присутствует большое количество беспроводных точек доступа от различных производителей. Эти устройства делятся по размерам покрываемых ими сетей. Дешевле те, что предназначены для предоставления доступа ксети домашних пользователей и небольших офисов, в которых работают не более десяти человек. Более дорогие промышленные решения предназначены для обеспечения беспроводным доступом сотен пользователей в достаточно большой зоне покрытия.

Одним из таких серьезных устройств является Zyxel NWA1123-AC-PRO, о котором и пойдет речь в этой статье. Однако я предлагаю рассмотреть не только технические особенности данного устройства, но и вопросы безопасной настройки и использования точки доступа. Но для начала поговорим о том, что умеет это решение.

Серьезный функционал

Zyxel NWA1123-AC-PRO – это двухдиапазонная точка доступа Wi-Fi 802.11a/b/g/n/ac с двумя радиоинтерфейсами и поддержкой технологии формирования адаптивной диаграммы направленности (Tx Beamforming). Устройство поддерживает стандарт 802.11ac и предназначено для развертывания Wi-Fi-сетей одновременно в частотных диапазонах 2,4 и 5 ГГц в местах с большой плотностью абонентов, имеет суммарную скорость связи 1,2 Гбит/с.

При этом зону покрытия можно расширить за счет использования нескольких точек доступа в одной беспроводной сети. Устройство поддерживает функцию роуминга, которая обеспечивает постоянное подключение к Wi-Fi-сети мобильных пользователей во время их перемещения внутри зоны покрытия, созданной несколькими автономными точками доступа Zyxel. Поддержка протокола Wi-Fi Multimedia (WMM) и восьми идентификаторов беспроводной сети SSID на каждом радиоинтерфейсе c возможностью тегирования маркерами VLAN 802.1Q позволяет различным сетевым сервисам работать с заданным качеством обслуживания.

Обеспечение устройства питанием осуществляется посредством Power over Ethernet (PoE). В комплект поставки входит адаптер 220 В с портом PoE. На самой точке доступа есть только два порта Ethernet, один из которых PoE. Таким образом, если в вашей сети используется технология Power over Ethernet, точку доступа можно подключать напрямую к сети соответствующим кабелем. В противном случае нужен адаптер.

В комплект поставки входит крепление для установки точки на стену. Однако рабочий диапазон температур для данного устройства 0-500С, что исключает монтаж точки доступа вне помещений. Также устройство имеет коннектор длявнешней антенны.

О функционале, связанном с обеспечением информационной безопасности, мы поговорим чуть позже. Здесь же замечу, что в состав устройства входит межсетевой экран и возможность работы с VLAN. Управление правами доступа осуществляется на основе ролей, в результате чего можно настроить более гибкие права доступа к устройству (см. рис. 1).

Рисунок 1. Рабочий интерфейс точки доступа

В целом устройство соответствует следующим стандартам: 802.1Q VLAN, 802.1x User Authentication, 802.3 Ethernet, 802.3u Fast Ethernet, 802.3af PoE, 802.3az Energy Efficient Ethernet.

Как видно, Zyxel NWA1123-AC-PRO – это промышленное средство обеспечения беспроводного доступа для сетей с большим количеством абонентов. В устройство заложен серьезный функционал по обеспечению защиты передаваемой информации, в инструкции по начальной настройке приведен набор действий, необходимый для безопасной настройки точки доступа.

Взлом из коробки

Однако, к сожалению, многие системные администраторы не уделяют достаточного внимания настройке безопасности беспроводных устройств, создавая тем самым серьезную брешь в безопасности всей корпоративной сети. Причин тому может быть много: нехватка времени, отсутствие должной квалификации и др. Отчасти к этому подталкивают и сами производители, ведь многие устройства работают из коробки сразу после подключения к сети.

Далее я предлагаю проделать экспресс-тест на проникновение в беспроводную сеть на базе точки доступа Zyxel NWA1123-AC-PRO с настройками по умолчанию. Например, представим ситуацию, когда устройство на некоторой далекой площадке подключили к сети, проверили доступность интернета и... не сделали больше никаких настроек. К сожалению, подобные ситуации не так уж и редки, ведь «и так работает».

В качестве рабочего инструментария мы будем использовать специальный дистрибутив Kali Linux, который представляет собой загружаемый образ операционной системы (Live CD) [1]. Тем самым его можно применять на любом ноутбуке, не внося никаких изменений на жесткий диск.

Итак, после первого подключения устройство создает сеть с SSID Zyxel. Эта сеть по умолчанию открытая, не использует никаких механизмов шифрования. Предположим, наш злоумышленник, находясь за пределами охраняемой территории предприятия и не располагая сведениями об используемом в сети оборудовании, подключился к этой сети. Что он сможет сделать дальше?

Узнаем больше

Нам необходимо получить доступ на точку доступа. Так как злоумышленник не знает ее модель, ему придется просканировать ее на наличие открытых портов. IP-адрес точки доступа – это, очевидно, шлюз по умолчанию из полученных поDHCP злоумышленником настроек сети. В моих примерах далее это будет 192.168.1.64. Для поиска открытых портов и работающих сервисов воспользуемся утилитой Nmap, входящей в состав Kali Linux. Для большей наглядности яиспользовал оконную версию Zenmap. Как видно (см. рис. 2), на точке доступа открыты порты 21, 22, 80, 443.

Рисунок 2. Результаты сканирования устройства

Далее нам необходимо идентифицировать, какая модель устройства используется. Проще всего это сделать, подключившись с помощью браузера по порту 80. На главной странице будет отображено название точки доступа Zyxel NWA1123-AC-PRO. Далее для того, чтобы узнать логин/пароль, по умолчанию достаточно просто поискать руководство администратора для данного устройства в интернете.

Однако мы немного усложним задачу, предположив, что у нас нет доступа к глобальной сети. Тогда нам необходимо подобрать пароль. Напомню, что на точке доступа открыты порты для служб FTP, SSH и веб. Наиболее удобным дляперебора, по моему мнению, является SSH, так как данный протокол обычно используется для администрирования, в отличие от FTP.

В состав Kali Linux входит несколько утилит для перебора паролей. Я предлагаю воспользоваться утилитой medusa и имеющимися в составе нашего дистрибутива файлами словарей (см. рис. 3). Учитывая, что список возможных логинов можно ограничить до root, admin, подбор пароля по приведенному словарю занял не более десяти минут, при условии хорошего приема.

Рисунок 3. Результаты перебора паролей

Как видно, учетные данные для администрирования устройства admin/1234. Теперь мы можем зайти на точку доступа под административными правами и внести в нее любые настройки, например перенаправить весь трафик на узел, контролируемый злоумышленником, для реализации атак вида «человек посередине» (Man in the Middle).

Слишком простой ключ

Итак, мы рассмотрели ситуацию, когда устройство было включено в сеть, но никаких настроек не проводилось. Надеюсь, читатель осознал всю пагубность такого подхода. Теперь немного усложним задачу. Допустим, администратор нетолько подключил точку, но и произвел начальную инициализацию устройства, сменив при этом пароль на более стойкий к перебору. Начальная инициализация заключается в том, что при первом подключении к точке доступа устройство предлагает сменить пароль администратора (однако этот шаг можно проигнорировать), а также включает по умолчанию WPA2 для SSID Zyxel с ключом 12345678. Сменить SSID и ключ можно, зайдя в соответствующие настройки, однако при начальной инициализации устройство не предлагает сменить ключ принудительно. Предположим, что наш администратор провел только начальную инициализацию, не меняя ключ сети Zyxel.

Тогда для того, чтобы попытаться получить доступ в беспроводную сеть, злоумышленнику необходимо поискать в интернете, например, «zyxel ключ сети». Поисковик выдаст несколько инструкций по подключению, преимущественно ссайтов провайдеров. В них будет предлагаться ключ 12345678 в качестве примера. Такой на первый взгляд несколько странный способ в очередной раз демонстрирует опасность использования настроек по умолчанию.

Сканируем «черный ящик»

Проникнув в беспроводную сеть, попробуем получить доступ к устройству с надежным паролем администратора. Подобрать перебором пароль длиной от восьми символов не из словаря практически не реально, по крайней мере по сети. Номы можем попробовать поискать уязвимости в прошивке точки доступа. Напомню, что мы не обновляли прошивку после первичной инициализации.

Для поиска уязвимостей воспользуемся сканером Nessus. Я не буду здесь подробно описывать работу с данным сканером, так как подробно о сканерах уязвимостей можно прочесть в моей статье [2]. Результаты проверки приведены на рис.4.

Рисунок 4. Результаты сканирования

Как видно, из заслуживающих внимания сообщений можно выделить только наличие записи public для доступа к SNMP. Наличие доступа по SNMP на чтение позволяет с помощью запросов получить информацию о состоянии устройства, его настройки и т.д. Наличие прав на запись позволяет вносить изменения в настройки.

В нашем случае public имеет права только на чтение, что может позволить злоумышленнику узнать больше об устройстве.

На этом наш экспресс-пентест можно завершить. Другие сообщения, указанные в отчете Nessus, не являются критичными уязвимостями, которые можно поэксплуатировать, это скорее информация об используемых на устройстве протоколах и технологиях.

В качестве альтернативного сканера я использовал OpenVAS, однако в его отчете оказалось еще меньше полезной информации.

Выводы и рекомендации

Таким образом, можно сделать вывод, что прошивка не содержит широко известных уязвимостей в коде. По крайней мере распространенные сканеры с последними обновлениями баз ничего не находят, а это значит, что злоумышленнику придется проводить собственное исследование, что под силу далеко не всем, так как требует глубоких знаний и наличия специальных технических средств.

Итак, по результатам нашего пентеста можно сделать следующие выводы: основную угрозу составляют настройки по умолчанию по причине своей слабости и общеизвестности. Код прошивки не содержит известных уязвимостей. Теперь поговорим о том, как можно грамотно настроить точку доступа для нейтрализации приведенных угроз.

Прежде всего необходимо провести начальную инициализацию устройства и в обязательном порядке сменить пароль на более сложный, как и рекомендует мастер смены пароля на устройстве. Далее необходимо сменить название и ключ сети. Здесь правило простое: название сети не должно отражать информацию о модели используемого оборудования. Ключ должен быть достаточно длинным и сложным, чтобы усложнить его взлом [3].

И еще один важный элемент защиты – это мощность излучаемого сигнала. По умолчанию устройство работает на максимуме, однако я бы рекомендовал опытным путем выяснить, какой уровень сигнала является достаточным для работы только на территории предприятия, и не выставлять более высокий сигнал. Это усложнит злоумышленникам не только взлом, но и поиск сети.

Что касается настроек SNMP, то прежде всего я бы рекомендовал определиться, нужен ли вам вообще этот протокол. В случае если в корпоративной сети нет средств мониторинга и удаленного управления устройствами, использующими данный протокол, я бы рекомендовал его выключить. Если использование SNMP является необходимым, то нужно сменить значение public на более подходящее и выставить нужную версию SNMP.

Кроме этого, администраторам необходимо регулярно проверять на сайте разработчика наличие новых версий прошивок и информацию о найденных уязвимостях. Своевременное обновление устройства позволит избежать проблем, аналогичных тем, что были с вирусом Petya и подобными, когда не установленные вовремя обновления стали причиной массовых заражений.

Также в завершение еще немного общих рекомендаций. Доступ к устройству по SSH, веб, FTP должен разрешаться только из административного сегмента сети. Из пользовательских сегментов доступ ко всем интерфейсам должен быть заблокирован. По сути, это означает, что доступ по Wi-Fi к администрированию устройства должен быть заблокирован.

Использование FTP на устройстве лучше отключить и включать только в случае необходимости, например при загрузке обновлений и резервных копий.

Таким образом, при правильной настройке точка доступа Zyxel NWA1123-AC-PRO является высокопроизводительным, защищенным узлом, позволяющим организовать скоростной доступ к беспроводной сети большому числу пользователей.

1. Дистрибутив Kali Linux – https://www.kali.org.
2. Бирюков А. Проводим пентест. Часть 3. Ищем уязвимости. //«Системный администратор», № 6, 2016 г. – С. 24-29. URL: http://samag.ru/archive/article/3211.
3. Бирюков А. Проводим пентест. Часть 1. Проникаем в беспроводную сеть. //«Системный администратор», № 4, 2016 г. – С. 40-44. URL: http://samag.ru/archive/article/3171.

Комментарии могут оставлять только зарегистрированные пользователи