Czym są domyślne hasła i dlaczego są problemem
Każdy router, switch, punkt dostępowy czy kamera IP wychodzi z fabryki z ustawionym hasłem administratora. Producent musi je gdzieś podać - i podaje je w instrukcji obsługi, na naklejce na urządzeniu albo na swojej stronie internetowej. Te hasła są publiczne, skatalogowane i dostępne w bazach danych, z których korzystają narzędzia do automatycznego skanowania sieci.
Gdy urządzenie trafia do firmy i nikt nie zmienia domyślnego hasła, pozostaje ono otwarte dla każdego, kto wie gdzie szukać. A szukać nie trzeba długo - wystarczy wpisać model urządzenia w wyszukiwarkę.
Jakie urządzenia są narażone
Problem dotyczy całej infrastruktury sieciowej, nie tylko routerów. Switche zarządzalne, punkty dostępowe Wi-Fi, kontrolery sieci bezprzewodowej, kamery IP, drukarki sieciowe, systemy NAS - każde z tych urządzeń ma panel administracyjny zabezpieczony hasłem i każde trafia do sieci z hasłem fabrycznym.
W typowej firmie takich urządzeń są dziesiątki - i stopień kontroli nad nimi bywa bardzo różny.
Najgorszy scenariusz to brak jakiejkolwiek ewidencji. Firma nie wie ile urządzeń sieciowych ma w sieci, kto je instalował i jakie mają hasła. Każde z nich może działać z fabrycznym hasłem od dnia instalacji - czasem od lat.
Lepiej, ale wciąż niewystarczająco, jest gdy IT prowadzi ewidencję własnych urządzeń, ale poza nią zostają te instalowane przez zewnętrznych wykonawców - dostawców internetu, firmy instalujące monitoring czy systemy alarmowe. Urządzenie trafia do sieci firmowej, działa poprawnie, więc nikt nie zadaje pytań. Domyślne hasło zostaje, bo nikt nie wie, że powinien je zmienić.
Co może zrobić atakujący z dostępem do urządzenia sieciowego
Dostęp do panelu administracyjnego routera czy switcha to znacznie więcej niż możliwość zmiany hasła Wi-Fi. Atakujący z dostępem do urządzenia sieciowego może przekierować ruch przez własny serwer i przechwytywać dane przesyłane w sieci, zablokować dostęp do internetu lub określonych zasobów, zmienić konfigurację DNS i kierować użytkowników na fałszywe strony logowania, a także otworzyć dostęp do sieci wewnętrznej z zewnątrz.
Szczególnie groźna jest zmiana konfiguracji DNS. Użytkownik wpisuje adres banku czy systemu ERP, a trafia na stronę łudząco podobną do oryginału - i podaje swoje dane logowania. Wszystko wygląda normalnie, bo adres w przeglądarce jest poprawny. Wykrycie takiego ataku bez monitorowania ruchu sieciowego jest bardzo trudne.
Kolejny scenariusz to wykorzystanie przejętego urządzenia jako punktu wejścia do dalszej eksploracji sieci. Atakujący, który ma dostęp do switcha zarządzalnego, może obserwować ruch między urządzeniami w sieci wewnętrznej, zbierać dane uwierzytelniające i stopniowo przejmować kolejne systemy - bez żadnego złośliwego oprogramowania na komputerach pracowników. Z perspektywy standardowych narzędzi bezpieczeństwa taki atak jest niewidoczny.
W przypadku kamer IP dostęp do panelu oznacza podgląd na żywo i nagrania - co w środowisku firmowym może oznaczać wyciek informacji o procesach, klientach i pracownikach.
Jak wyeliminować ryzyko
Pierwszym krokiem jest inwentaryzacja - lista wszystkich urządzeń sieciowych w firmie wraz z ich modelami i lokalizacją. Bez tego nie wiadomo co zabezpieczać. To samo dotyczy shadow IT w obszarze infrastruktury - urządzeń podłączonych do sieci bez wiedzy IT.
Każde urządzenie powinno mieć zmienione hasło domyślne na unikalne, silne hasło zarządzane przez firmowy menedżer haseł. Hasła urządzeń sieciowych to osobna kategoria - nie mogą być zapisane na karteczce przyklejonej do urządzenia ani w arkuszu Excel dostępnym dla wszystkich.
Dostęp do paneli administracyjnych powinien być ograniczony do sieci zarządzania albo konkretnych adresów IP – to kolejne zabezpieczenie.
Uzupełnieniem jest wdrożenie uwierzytelniania 802.1X - standardu, który wymaga od każdego urządzenia próbującego podłączyć się do sieci potwierdzenia tożsamości przed uzyskaniem dostępu. Dzięki temu nieznane urządzenie - nawet podłączone fizycznie do gniazdka sieciowego - nie wejdzie do sieci bez autoryzacji. To skuteczna bariera zarówno przed niezinwentaryzowanymi urządzeniami zewnętrznych wykonawców, jak i przed sprzętem przyniesionym przez pracowników.
Jak wygląda to w Helpwise
Weryfikacja haseł i konfiguracji urządzeń sieciowych jest elementem audytu IT, który przeprowadzamy obejmując nowego klienta opieką. Sprawdzamy każde urządzenie w sieci, zmieniamy domyślne hasła, dokumentujemy konfigurację i wdrażamy politykę dostępu do paneli administracyjnych.
W ramach obsługi IT standardowo wdrażamy też uwierzytelnianie 802.1X - tak żeby do sieci klienta mogły łączyć się tylko urządzenia, które zostały wcześniej zautoryzowane. To eliminuje ryzyko związane z niezinwentaryzowanym sprzętem i zamyka jedną z najczęściej pomijanych luk w bezpieczeństwie infrastruktury.