Introducción
El otro día me llegó mi última compra en Ebay, dos Cisco 3550 de 48 puertos de segunda mano, para mi laboratorio Cisco de casa. Como cada vez que recibo equipos, en lugar de resetearlos y empezar a jugar con ellos, mi curiosidad me llevó a "jugar" con ellos.
Mi tesoroooooo
Conecto el primero y veo como va cargando el IOS y llega al prompt. Nombre "Switch", que es nombre que traen de fábrica. Este promete poco y así es. Cuando voy a intentar entrar en modo privilegiado (comando enable) me deja entrar sin problemas. Un show running-config me confirma que viene vacío, así que con este poco podemos hacer.
Pasamos al siguiente. Ya para empezar, en el examen visual para ver si están en perfecto estado y demás, veo una pegatina que no viene de serie: "Property of HeMan's Castle Limited" Me apunto el dato.
Conectado a la consola, voy viendo como arranca. Llega al prompt y aparece un nombre de equipo Greyskull. Eso significa que hay configuración de por medio. Este switch promete. Intento entrar en modo privilegiado y me pide password. Pruebo con los que trae Cisco de serie y nada. Bueno, habrá que recuperar contraseña.
Comienza la diversión
Protocolo de recuperación de contraseña de Cisco sólo hasta el paso 12. Todavía no quiero tocar la configuración que trae. Hago un show running-config y el petróleo empieza a manar.
enable secret 5 $1$7oI7$s5Pi5XXX/f/6HxxXXK6Bn/
enable password PorElPoderDeGreyskull
Primeras líneas y quizás ya tengo el password de modo privilegiado. Alguien ha metido el password usando el comando enable password
Volvemos a recuperar contraseña y cambiamos el password por cisco, el que ponen por defecto, para evitar que al reiniciar tengamos que repetir el proceso.
Seguimos explorando la configuración. Vemos en los puertos 42, 46 y 48 que son de acceso a una VLAN, la 280.
interface FastEthernet0/42
switchport access vlan 280
switchport mode access
…
También podemos observar que está en modo acceso. Eso significa que había algún equipo conectado a esos puertos. El resto están en modo dinámico, así que no podemos saber cual se usaba como troncal. Pero esa información nos confirma que hay VLANs en el switch. Pasaremos luego a ello.
Seguimos mirando la configuración y llega uno de los puntos que más información pude proporcionar: la comunidad SNMP.
snmp-server community MyCastle RO
snmp-server location Greyskull Castle
snmp-server contact ManAtArms
El nombre de la comunidad no dice mucho, pero el campo location nos dice, en teoría, dónde ha estado ubicado. El campo contacto, da un nombre. Más datos, como decía Johnny 5.
Llegamos a la parte de líneas vty o acceso remoto.
line con 0
line vty 0 4
password YoTengoElPoder
login
line vty 5 15
password YoTengoElPoder
login
Lo que nos da los passwords de conexión. Ademas, la línea de login nos confirma que no está restringido a ssh, por lo que un telnet sería capaz de conectarse.
Por ahora de esta configuración no vamos a sacar nada. Pasamos a las VLANs.
Ejecutamos un show vlan y obtenemos esta salida (recortada para mostrar lo interesante)
| VLAN | Name | Status | Ports |
| 80 | ServerVlan | active |
|
| 110 | DDBBVlan | active |
|
| 210 | BckVlan | active |
|
| 280 | DMZVlan | active | Fa0/42, Fa0/46, Fa0/48 |
| 666 | SatanIsMyFriend | active |
|
Vemos que la VLAN a la que están mapeados los puertos 42, 46 y 48 es de una DMZ. Este switch se usaba para conectar equipos de DMZ. También sabemos que la VLAN 80 es donde están los servidores y la 110 donde están las bases de datos. En la configuración no hemos encontrado referencias a VTP así que suponemos que, o bien antes ha estado en otra parte del CPD donde necesitaba esas VLANs, el administrador ha metido demasiada información donde no debía o antes sí estaba en un dominio VTP. También deducimos que el administrador de redes es un cachondo, viendo la VLAN 666 (es lo único que no he cambiado en todo el post, ese número de VLAN). Yo, personalmente, he usado ese número para la VLAN de aislamiento de puertos no utilizados, pero me ha hecho gracia encontrármelo en otra configuración.
Recapitulamos datos. Tenemos una pegatina que da un posible nombre de empresa. Una ubicación y un técnico. Además tengo un albarán de envío. “Google is your friend”
Dando el toque final
Lo primero, buscar la dirección del remite (que viene con teléfono incluido) y es una empresa de equipos de red de segunda mano de un lejano país. Poco sacamos de aquí.
Buscamos el nombre del técnico y, curioso, el segundo resultado es un perfil de Linkedin de un tal ManAtArms. Miremos el perfil. Anda, si pone que hace 4 años trabajó en una empresa llamada Skeletor Castle Ltd. como la pegatina que lleva el switch. Buscamos la empresa en Google y resulta que está en Greyskull Castle, localidad de al lado de la empresa que me lo ha enviado.
Y hasta aquí llego. Pero un atacante, puede empezar a buscar vulnerabilidades en la web y hacerse con un acceso. A partir de ahí, sabe las VLANs que hay en la empresa y tiene más fácil intentar hacer un VLAN hopping para un DoS o cualquier otro tipo de ataque en capa 2.
Conclusión
En este caso, es un switch que no da demasiada información para un ataque en condiciones, pero aun así nos revela información importante de la empresa. En el caso de los routers suele ser más descarado (tengo un router que me vino lleno de usuarios, passwords e IPs públicas para VPNs de una importante empresa del norte de Europa y otro que me trajo hasta los teléfonos móviles de los técnicos).
Cuando una empresa retira equipos, suele ser habitual venderlos de segunda mano o regalarlos. En el caso de ordenadores, siempre está la conciencia de formatear el disco duro o poner uno nuevo. ¿Por qué en el caso de los equipos de red no? Por desconocimiento, básicamente. Total, si esos bichos no tienen disco duro. Pues no, sí que tienen. Y pueden revelar información mucho más crítica que un ordenador en un momento dado que puede ser utilizada de manera “poco ética”.
Por eso, BORRAR SIEMPRE LAS CONFIGURACIONES. Y por supuesto, todos los backups o archivos alternativos que pueda haber en la memoria flash, que también suele tener configuraciones olvidadas. Aparte del fichero vlan.dat que es el que guarda la información de las VLANs.
Disclaimer: Evidentemente, he cambiado nombres, lugares, passwords y números de VLAN para no relacionar personas ni empresas. Únicamente he dejado intacto el número de VLAN 666 como ya he comentado. Si coincide con algún otro equipo que alguien tenga, es fruto de la casualidad.
