《路由器、交换机及防火墙漏洞的发现与防范方法》由会员分享,可在线阅读,更多相关《路由器、交换机及防火墙漏洞的发现与防范方法(6页珍藏版)》请在金锄头文库上搜索。
1、资料来源:来自本人网络整理!祝您工作顺利!路由器、交换机及防火墙漏洞的发现与防范方法 对于路由器、交换机以及防火墙这三样设备,是黑客最简单攻击的。一旦我们发觉有破绽,该怎么办呢?下面我就为大家介绍一下详细的解决方法吧,欢送大家参考和学习。 远程连接到网络资源已经成为现代企业许多员工的工作需要。无论这种连接是通过、远程桌面还是平安壳(SSH)进展的,这种连接将不行避开地穿过装载着路由器、交换机和防火墙的网络,而这些设备中有许多都很简单受到攻击。 平安行业的企业和管理人员都意识到了这个问题,攻击者也意识到这些设备中存在破绽,任何具有根本网络学问的怀有恶意的人员都可以胜利地攻击路由器、交换机和防火墙
2、来窃取企业信息甚至中断通信。 在本文中,我们将讨论为什么这些设备简单受到攻击,如今有多少恶意网络攻击是瞄准路由器、交换机和防火墙的以及企业应当实行什么措施来爱护其网络。 攻击思科路由器或交换机 从其核心来看,路由和交换的过程无非是在网络中挪动数据包。鉴于这个过程的根本性,路由器和交换机通常被认为是简洁的传递设备。然而,需要留意的是,一旦某人获得对路由器或交换机的任何类型的管理访问权限,他们将有可能造成严峻的破坏。 首先,让我们看看路由器或交换机可能被攻击的方式之一。在路由和交换市场占据最多市场份额的是思科公司。虽然惠普和Brocade在2层网络交换机市场已经获得了令人瞩目的进步,但思科仍被网络
3、行业内的许多人视为黄金标准。然而,也正因为思科产品被广泛部署,它们不行幸免地成为攻击者最喜爱的目的。 例如,在Backtrack 5 Linux发行版中,有特地用于思科设备的一整套工具集,这个发行版还装备了许多平安功能和软件来关心平安管理员进展浸透测试以及检查各种系统中的破绽。虽然这些工具主要用于审计,但这些工具也常常被攻击者用来发觉根本的破绽,例如密码破绽这可以通过John the Ripper来发觉。 幸运的是,如今企业平安专家已经可以开头用法BackTrack 5(第3版本)。假如你还没有安装Backtrack,那么请尽快安装。然后,开头检查有破绽的网络设备(当然,在你得到企业允许后),
4、定位到以下名目: /pentest/cisco/cisco-global-exploiter 运行名为cge.pl的Perl文件,这个文件没有任何选项。依据运行的版本的不同,屏幕上最多会出现14个不同的选项,每个选项都会引用一个试图利用不同破绽的脚本。这可以关心企业更有效地测试路由器面对外部的接口,企业应当常常进展测试。假设测试的路由器有一个外部IP地址200.1.1.1,输入以下指令: ./cge.pl 200.1.1.1 2 这将运行针对外部接口(利用选项二)的破绽利用,思科IOS路由器回绝效劳破绽。假如该路由器存在破绽,在标准输出中将会显示一个消息:破绽胜利被利用。目的效劳器已经宕机 如
5、今,思科破绽利用特别多,这些破绽整齐地打包在一个平台内,假如落入坏人手中,会带来严峻后果。上面的例子仅仅是许多现有破绽利用之一。因此,假如这项工作还不是你最优先的工作,请运行这个操作,并仔细登记结果;在不久的将来,你将需要它们用来修复。 BGP重定向的风险 利用联网设备的另一个潜在危急就是数据丧失。虽然有几种不同的攻击方式,被称为边界网关协议(BGP)重定向的攻击方法已经越来越令人头痛。 首先,BGP被认为是互联网的核心协议。BGP用于网关主机,它交换路由信息和独特的标识符自治系统号码(ASN),这个号码由互联网编号安排机构(IANA)或者区域互联网注册管理机构(RIRs)安排。当数据包穿过I
6、SP的网关时,网关可以通过检查数据包表头中的ASN来识别单个数据包来自哪个ISP。 许多时候,攻击者会发布他们知道的属于另一个自治系统内企业的路由或者ASN。例如,假如一家银行属于AS1,而攻击者在AS2内操作BGP路由器,他只需要假装其路由器作为AS1,许多传输到AS1的流量将会被重定向到AS2。这是一个相当简洁的例子,但这个破绽利用特别简单执行。 超越防火墙 在前文中,我们提到了网络攻击者获得路由器或交换机的管理访问权限的灾难性后果。而假如攻击者获得防火墙管理权限,后果将更加严峻。对于任何企业网络而言,防火墙都是主要的防备机制,假如攻击者猎取了关闭防火墙的权限或者甚至可以操纵它允许某些流量
7、,结果可能是消灭性的。 例如,假设子网200.1.1.1/24被视为恶意,平安管理员尽职尽责地配置了访问掌握列表( ACL)来阻挡全部入站和出站流量到该子网。假如攻击者胜利获得防火墙管理访问权限,他们就可以对受权的网络流量肆意妄为,当然还可以制造各种恶意流量和系统恳求。 人为因素 各种防火墙供给商会不定期地发布已知破绽,而这些破绽可能有或者没有修复补丁。例如,思科Security Advisories、Response和Notices网站供应了一个便利的数据库,让最终用户理解全部思科产品(包括防火墙)的最新平安问题。笔者发觉思科通常会充分地披露已知破绽,也会发布修复补丁。这在很大程度上是因为思
8、科投资了大量资金来讨论其产品的平安性。 总之,假如企业部署了思科根底设施,实在是没有理由不保持更新最新破绽学问。许多企业没有特地的人员来监控最新发布的补丁或者破绽,这在很大程度上是因为他们依靠于思科和其他供给商来即时让他们理解平安问题。不用说,这种做法存在严峻问题,但这仍不失为系统管理员可选择的一种方法。因此,负责管理企业防火墙根底设施的人员必需尽一切努力来理解最新修复补丁、破绽监控和其他可能产生的问题。 防止路由器、交换机和防火墙被攻击 那么,我们应当如何防止企业网络通过路由器、交换机或防火墙受到攻击呢?在前面的第一个例子中,定期的审计是个不错的方法。从Backtrack开头,利用该平台内丰
9、富的工具。请确保在必要时进展更新,并确保出厂默认密码完全去除。大家都知道思科的默认用户名和默认密码都是cisco。 对于BGP破绽:最有效的做法是在ISP级别解决问题。许多讨论涉及利用自治系统之间的公钥根底设施(PKI),也是在ISP层面。而在网络层面,最好的做法当然是监视入站数据包的路由,并搜寻其中的任何异样状况。例如,是否有数据包好像是来自于你的ISP没有从其接收路由的自治系统?这可能需要系统管理员和ISP人员全都的对话。 另外,笔者很喜爱将企业路由器放在配置良好的防火墙后面的做法,但随后应当通过严密执行的ACL来配置路由器,这样一来,负担就不完全在防火墙上。 在避开防火墙患病攻击的最正确做法方面,企业应着重考虑在默认状况下阻挡全部入站和出站流量,并鼓舞最终用户说明为什么某些流量应通过防火墙。此外,严格掌握谁拥有防火墙的带外管理访问权限,以及每个管理员允许从哪里访问管理功能。换句话说,某些人可能被授予防火墙访问管理权限,但从操作平安性来看,他们只能从LAN内访问管理资源,而不是从其居住地或者国外访问它们。最终,对你现有的防火墙根底设施进展监控、讨论和保持最新更新、补丁和平安破绽。 牢记上述建议,平安管理员必需慎重配置路由器和交换机,不仅需要确保严格的掌握,还需要保证其性能不会受到影响。假如不这样做,可能意味着你从幸存者沦为受害者。 62021年6月 Word版本
