G 4.49 Unsichere Default-Einstellungen auf Routern und Switches
Aktive Netzkomponenten werden von Herstellern oft mit unsicheren Default-Konfigurationen ausgeliefert, die den sicheren Einsatz gefährden. Bei einigen Geräten zeigen außerdem die Systembefehle zur Anzeige einer Konfiguration nicht alle Parameter an.
Folgende Aspekte sind häufig problematisch:
Betriebssystem
Aktive Netzkomponenten werden oft mit einem veralteten Versionsstand des Betriebssystems ausgeliefert.
Hostname
Werkmäßig eingestellte Hostnamen verraten oft den Hersteller der Geräte.
Dienste
Werkseitig werden Geräte mit Standardkonfigurationen ausgeliefert, auf denen eine Vielzahl von Diensten aktiviert sind. Beispielsweise können dies HTTP, Telnet, FINGER oder sonstige Dienste sein.
Benutzerkonten und Passworte
Werksmäßig eingerichtete Benutzerkonten haben dokumentierte und damit allgemein bekannte Standardnamen und -Passworte. Auf einschlägigen Internet-Seiten stehen Listen mit herstellerspezifischen Standard-Accounts und Passworten zum Download bereit.
Unsichere SNMP-Versionen
Die Authentisierung erfolgt bei SNMPv1 und SNMPv2 lediglich mittels eines unverschlüsselten sogenannten Community Strings. Als Standardeinstellung bei nahezu allen Herstellern ist der Read-Community-String auf den Wert "public" eingestellt, während der Write-Community-String auf den Wert "private" gesetzt ist. Wenn die unsicheren SNMP-Versionen genutzt werden und für die Administration kein eigenes Administrationsnetz eingerichtet wurde, kann ein Angreifer leicht die Kontrolle über Netzkomponenten erlangen, wenn diese Default-Einstellungen beibehalten werden.
Routing-Protokolle
Auf Routern und Switches verschiedener Hersteller sind standardmäßig Routing-Protokolle aktiviert.
Login-Banner
Werksmäßig verraten Login-Banner unterschiedlicher Geräte beispielsweise die Modell- und Versionsnummer des Gerätes. Diese Angaben können für die gezielte Auswahl bekannter Exploits verwendet werden und erleichtern Angreifern so die Durchführung von Angriffen.