路由器、交換機(jī)及防火墻漏洞的發(fā)現(xiàn)與防范方法

路由器、交換機(jī)及防火墻漏洞的發(fā)現(xiàn)與防范方法

　　對(duì)于路由器、交換機(jī)以及防火墻這三樣設(shè)備，是黑客最容易攻擊的。一旦我們發(fā)現(xiàn)有漏洞，該怎么辦呢?下面學(xué)習(xí)啦小編就為大家介紹一下具體的解決方法吧，歡迎大家參考和學(xué)習(xí)。

　　遠(yuǎn)程連接到網(wǎng)絡(luò)資源已經(jīng)成為現(xiàn)代企業(yè)很多員工的工作需要。無論這種連接是通過、遠(yuǎn)程桌面還是安全殼(SSH)進(jìn)行的，這種連接將不可避免地穿過裝載著路由器、交換機(jī)和防火墻的網(wǎng)絡(luò)，而這些設(shè)備中有很多都很容易受到攻擊。

　　安全行業(yè)的企業(yè)和管理人員都意識(shí)到了這個(gè)問題，攻擊者也意識(shí)到這些設(shè)備中存在漏洞，任何具有基本網(wǎng)絡(luò)知識(shí)的懷有惡意的人員都可以成功地攻擊路由器、交換機(jī)和防火墻來竊取企業(yè)信息甚至中斷通信。

　　在本文中，我們將探討為什么這些設(shè)備容易受到攻擊，現(xiàn)在有多少惡意網(wǎng)絡(luò)攻擊是瞄準(zhǔn)路由器、交換機(jī)和防火墻的以及企業(yè)應(yīng)該采取什么措施來保護(hù)其網(wǎng)絡(luò)。

　　攻擊思科路由器或交換機(jī)

　　從其核心來看，路由和交換的過程無非是在網(wǎng)絡(luò)中移動(dòng)數(shù)據(jù)包。鑒于這個(gè)過程的基本性，路由器和交換機(jī)通常被認(rèn)為是簡單的傳遞設(shè)備。然而，需要注意的是，一旦某人獲得對(duì)路由器或交換機(jī)的任何類型的管理訪問權(quán)限，他們將有可能造成嚴(yán)重的破壞。

　　首先，讓我們看看路由器或交換機(jī)可能被攻擊的方式之一。在路由和交換市場占據(jù)最多市場份額的是思科公司。雖然惠普和Brocade在2層網(wǎng)絡(luò)交換機(jī)市場已經(jīng)取得了令人矚目的進(jìn)步，但思科仍被網(wǎng)絡(luò)行業(yè)內(nèi)的很多人視為黃金標(biāo)準(zhǔn)。然而，也正因?yàn)樗伎飘a(chǎn)品被廣泛部署，它們不可幸免地成為攻擊者最喜歡的目標(biāo)。

　　例如，在Backtrack 5 Linux發(fā)行版中，有專門用于思科設(shè)備的一整套工具集，這個(gè)發(fā)行版還配備了很多安全功能和軟件來幫助安全管理員進(jìn)行滲透測試以及檢查各種系統(tǒng)中的漏洞。雖然這些工具主要用于審計(jì)，但這些工具也經(jīng)常被攻擊者用來發(fā)現(xiàn)基本的漏洞，例如密碼漏洞—這可以通過John the Ripper來發(fā)現(xiàn)。

　　幸運(yùn)的是，現(xiàn)在企業(yè)安全專家已經(jīng)可以開始使用BackTrack 5(第3版本)。如果你還沒有安裝Backtrack，那么請(qǐng)盡快安裝。然后，開始檢查有漏洞的網(wǎng)絡(luò)設(shè)備(當(dāng)然，在你得到企業(yè)允許后)，定位到以下目錄：

　　/pentest/cisco/cisco-global-exploiter

　　運(yùn)行名為cge.pl的Perl文件，這個(gè)文件沒有任何選項(xiàng)。根據(jù)運(yùn)行的版本的不同，屏幕上最多會(huì)出現(xiàn)14個(gè)不同的選項(xiàng)，每個(gè)選項(xiàng)都會(huì)引用一個(gè)試圖利用不同漏洞的腳本。這能夠幫助企業(yè)更有效地測試路由器面向外部的接口，企業(yè)應(yīng)該經(jīng)常進(jìn)行測試。假設(shè)測試的路由器有一個(gè)外部IP地址200.1.1.1，輸入以下命令：

　　./cge.pl 200.1.1.1 2

　　這將運(yùn)行針對(duì)外部接口(利用選項(xiàng)二)的漏洞利用，思科IOS路由器拒絕服務(wù)漏洞。如果該路由器存在漏洞，在標(biāo)準(zhǔn)輸出中將會(huì)顯示一個(gè)消息：漏洞成功被利用。目標(biāo)服務(wù)器已經(jīng)宕機(jī)……

　　現(xiàn)在，思科漏洞利用非常多，這些漏洞整齊地打包在一個(gè)平臺(tái)內(nèi)，如果落入壞人手中，會(huì)帶來嚴(yán)重后果。上面的例子僅僅是很多現(xiàn)有漏洞利用之一。因此，如果這項(xiàng)工作還不是你最優(yōu)先的工作，請(qǐng)運(yùn)行這個(gè)操作，并認(rèn)真記下結(jié)果;在不久的將來，你將需要它們用來修復(fù)。

　　BGP重定向的風(fēng)險(xiǎn)

　　利用聯(lián)網(wǎng)設(shè)備的另一個(gè)潛在危險(xiǎn)就是數(shù)據(jù)丟失。雖然有幾種不同的攻擊方式，被稱為邊界網(wǎng)關(guān)協(xié)議(BGP)重定向的攻擊方法已經(jīng)越來越令人頭痛。

　　首先，BGP被認(rèn)為是互聯(lián)網(wǎng)的核心協(xié)議。BGP用于網(wǎng)關(guān)主機(jī)，它交換路由信息和獨(dú)特的標(biāo)識(shí)符—自治系統(tǒng)號(hào)碼(ASN)，這個(gè)號(hào)碼由互聯(lián)網(wǎng)編號(hào)分配機(jī)構(gòu)(IANA)或者區(qū)域互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)(RIRs)分配。當(dāng)數(shù)據(jù)包穿過ISP的網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)可以通過檢查數(shù)據(jù)包表頭中的ASN來識(shí)別單個(gè)數(shù)據(jù)包來自哪個(gè)ISP。

　　很多時(shí)候，攻擊者會(huì)發(fā)布他們知道的屬于另一個(gè)自治系統(tǒng)內(nèi)企業(yè)的路由或者ASN。例如，如果一家銀行屬于AS1，而攻擊者在AS2內(nèi)操作BGP路由器，他只需要偽裝其路由器作為AS1，很多傳輸?shù)紸S1的流量將會(huì)被重定向到AS2。這是一個(gè)相當(dāng)簡單的例子，但這個(gè)漏洞利用非常容易執(zhí)行。

　　超越防火墻

　　在前文中，我們提到了網(wǎng)絡(luò)攻擊者獲得路由器或交換機(jī)的管理訪問權(quán)限的災(zāi)難性后果。而如果攻擊者獲得防火墻管理權(quán)限，后果將更加嚴(yán)重。對(duì)于任何企業(yè)網(wǎng)絡(luò)而言，防火墻都是主要的防御機(jī)制，如果攻擊者獲取了關(guān)閉防火墻的權(quán)限或者甚至能夠操縱它允許某些流量，結(jié)果可能是毀滅性的。

　　例如，假設(shè)子網(wǎng)200.1.1.1/24被視為惡意，安全管理員盡職盡責(zé)地配置了訪問控制列表( ACL)來阻止所有入站和出站流量到該子網(wǎng)。如果攻擊者成功獲得防火墻管理訪問權(quán)限，他們就可以對(duì)授權(quán)的網(wǎng)絡(luò)流量“肆意妄為”，當(dāng)然還可以制造各種惡意流量和系統(tǒng)請(qǐng)求。

　　人為因素

　　各種防火墻供應(yīng)商會(huì)不定期地發(fā)布已知漏洞，而這些漏洞可能有或者沒有修復(fù)補(bǔ)丁。例如，思科Security Advisories、Response和Notices網(wǎng)站提供了一個(gè)方便的數(shù)據(jù)庫，讓最終用戶了解所有思科產(chǎn)品(包括防火墻)的最新安全問題。筆者發(fā)現(xiàn)思科通常會(huì)充分地披露已知漏洞，也會(huì)發(fā)布修復(fù)補(bǔ)丁。這在很大程度上是因?yàn)樗伎仆顿Y了大量資金來研究其產(chǎn)品的安全性。

　　總之，如果企業(yè)部署了思科基礎(chǔ)設(shè)施，實(shí)在是沒有理由不保持更新最新漏洞知識(shí)。很多企業(yè)沒有專門的人員來監(jiān)控最新發(fā)布的補(bǔ)丁或者漏洞，這在很大程度上是因?yàn)樗麄円蕾囉谒伎坪推渌?yīng)商來即時(shí)讓他們了解安全問題。不用說，這種做法存在嚴(yán)重問題，但這仍不失為系統(tǒng)管理員可選擇的一種方法。因此，負(fù)責(zé)管理企業(yè)防火墻基礎(chǔ)設(shè)施的人員必須盡一切努力來了解最新修復(fù)補(bǔ)丁、漏洞監(jiān)控和其他可能產(chǎn)生的問題。

　　防止路由器、交換機(jī)和防火墻被攻擊

　　那么，我們應(yīng)該如何防止企業(yè)網(wǎng)絡(luò)通過路由器、交換機(jī)或防火墻受到攻擊呢?在前面的第一個(gè)例子中，定期的審計(jì)是個(gè)不錯(cuò)的方法。從Backtrack開始，利用該平臺(tái)內(nèi)豐富的工具。請(qǐng)確保在必要時(shí)進(jìn)行更新，并確保出廠默認(rèn)密碼完全清除。大家都知道思科的默認(rèn)用戶名和默認(rèn)密碼都是cisco。

　　對(duì)于BGP漏洞：最有效的做法是在ISP級(jí)別解決問題。很多研究涉及利用自治系統(tǒng)之間的公鑰基礎(chǔ)設(shè)施(PKI)，也是在ISP層面。而在網(wǎng)絡(luò)層面，最好的做法當(dāng)然是監(jiān)視入站數(shù)據(jù)包的路由，并搜索其中的任何異常情況。例如，是否有數(shù)據(jù)包似乎是來自于你的ISP沒有從其接收路由的自治系統(tǒng)?這可能需要系統(tǒng)管理員和ISP人員一致的對(duì)話。

　　另外，筆者很喜歡將企業(yè)路由器放在配置良好的防火墻后面的做法，但隨后應(yīng)該通過緊密執(zhí)行的ACL來配置路由器，這樣一來，負(fù)擔(dān)就不完全在防火墻上。

　　在避免防火墻遭受攻擊的最佳做法方面，企業(yè)應(yīng)著重考慮在默認(rèn)情況下阻止所有入站和出站流量，并鼓勵(lì)最終用戶解釋為什么某些流量應(yīng)通過防火墻。此外，嚴(yán)格控制誰擁有防火墻的帶外管理訪問權(quán)限，以及每個(gè)管理員允許從哪里訪問管理功能。換句話說，某些人可能被授予防火墻訪問管理權(quán)限，但從操作安全性來看，他們只能從LAN內(nèi)訪問管理資源，而不是從其居住地或者國外訪問它們。最后，對(duì)你現(xiàn)有的防火墻基礎(chǔ)設(shè)施進(jìn)行監(jiān)控、研究和保持最新更新、補(bǔ)丁和安全漏洞。

　　牢記上述建議，安全管理員必須謹(jǐn)慎配置路由器和交換機(jī)，不僅需要確保嚴(yán)格的控制，還需要保證其性能不會(huì)受到影響。如果不這樣做，可能意味著你從幸存者淪為受害者。