怎么防止黑客入侵cisco路由器
怎么防止黑客入侵cisco路由器
cisco依靠自身的技術(shù)和對網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使他成為了網(wǎng)絡(luò)應(yīng)用的成功實踐者之一,他制造的路由器也是全球頂尖的,那么你知道怎么防止黑客入侵cisco路由器嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于怎么防止黑客入侵cisco路由器的相關(guān)資料,供你參考。
防止黑客入侵cisco路由器的方法:
(1).接管Cisco路由器
筆者最近對某日本站點(http://www.*.co.jp)進(jìn)行安全檢測,探測得知該Web服務(wù)器只開放了80端口似乎無法進(jìn)一步滲透。另外,Ping該網(wǎng)站的域名回顯的IP為210.224.*.69,TTL為44。依據(jù)該TTL值判斷,該Web站點應(yīng)該采用類似Unix/Linux的服務(wù)器。結(jié)合站點內(nèi)容,筆者憑經(jīng)驗判斷Web后面的這家企業(yè)的規(guī)模一定不小,其網(wǎng)絡(luò)中的主機(jī)一定比較多。既然如此,應(yīng)有比較專業(yè)的網(wǎng)絡(luò)設(shè)備,比如大型的路由器、交換機(jī)什么的,說不定還是cisco的產(chǎn)品。另外,既然是大公司一定有他們自己的公網(wǎng)IP段。
基于上面的考慮,筆者決定利用IP Network Browser工具對范圍為210.224.*.1~~~210.224.*.254的IP段進(jìn)行掃描,看是否Cisco路由器或者交換機(jī)什么的網(wǎng)絡(luò)設(shè)備。需要說明的是IP Network Browser是SolarWinds網(wǎng)管軟件集中的一個工具,通過它可以掃描出某個IP段內(nèi)的網(wǎng)絡(luò)設(shè)備。
運行IP Network Browser,輸入210.224.*.1~~~210.224.*.254網(wǎng)段進(jìn)行掃描,掃描的結(jié)果不出所料,IP地址為210.224.*.1的設(shè)備是一個路由器,而且是cisco的,通過查看Community String發(fā)現(xiàn)其權(quán)限是private即個人權(quán)限。(圖1)
利用SolarWinds工具包中的Config Download可以下載路由器的配置文件。在工具中輸入該IP地址進(jìn)行下載,很幸運下載成功。然后通過Config Viewer工具查看剛才下載下來的路由器配置文件,發(fā)現(xiàn)該路由器的特權(quán)密碼加密了顯示為:enable secret 5 class="main">
怎么防止黑客入侵cisco路由器
打開命令提示符,輸入命令telnet 210.224.*.1,連接路由器,成功連接,輸入vty密碼cisco成功進(jìn)入用戶模式。在命令提示符下輸入en,回車后輸入cisco竟然成功進(jìn)入cisco路由器的特權(quán)模式!至此該cisco路由器的被完全控制了。安全期間,在路由器中輸入命令show user,查看是否有其他人登錄。結(jié)果顯示沒有其他的登錄,我們可以進(jìn)行進(jìn)一步的安全測試。這里不得不說說,管理員的疏忽大意,缺乏安全意識。雖然特權(quán)密碼采用了加密方式,但是竟然與console和vty密碼一樣,這樣對特權(quán)密碼加密有什么用呢?另外,密碼設(shè)的比較簡單,cisco這是很容易猜出來的??梢娋W(wǎng)絡(luò)安全和木桶原理的類似,總是從最薄弱的環(huán)節(jié)中被突破。(圖3)
(2).Cisco下的攻擊測試
既然控制了路由器,但是我們還不能確定該路由器就是這家公司的,以及它與web服務(wù)器的關(guān)系。通過在路由器上輸入命令show ip interface brif,發(fā)現(xiàn)該路由器的幾乎所有的servil(串口)接口都處于激活狀態(tài),而快速以太網(wǎng)接口只有fastEthernet 0/1處于激活狀態(tài),并且該接口的IP地址為210.224.*.1,子網(wǎng)掩碼為255.255.255.0。因此基本可以斷定,該路由器就是這家公司的,該公司的WEb服務(wù)器連接到了路由器的fastEthernet 0/1上。同時,也可以大概地推測出該公司的網(wǎng)絡(luò)拓?fù)?。?yīng)該是Internet后面有個硬件防火墻,在防火墻的后面連接了cisco路由器,而WEB服務(wù)器就連接在路由器上,通過路由器與外網(wǎng)相連。
既然控制了該公司與外網(wǎng)連接的唯一設(shè)備路由器,別說一個web服務(wù)器,該公司的所有的internet都被控制了。筆者就以web服務(wù)器為例進(jìn)行了安全測試,在cisco路由器安全模式下輸入如下命令:
cisco#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
cisco(config)#int
cisco(config)#interface fastEthernet 0/1
cisco(config-if)#access-list 101 deny ip host 210.224.*.69 any
cisco(config)#access-list 101 permit ip any any
上面的cisco命令是創(chuàng)建訪問控制列表,阻止通過路由器的fastEthernet 0/1對IP地址為210.224.*.69(web服務(wù)器)的訪問。(圖4)
命令完成后在瀏覽器中輸入http://www.*.co.jp訪問,不出所料網(wǎng)頁不能打開。(圖5)
由于是安全測試,恢復(fù)網(wǎng)站的訪問,在cisco路由器上輸入命令
cisco(config)#int fastEthernet 0/1
cisco(config)#no access-list 101 deny ip host 210.224.*.69 any
2、防范措施
其實上面的測試并非偶然,筆者利用類似的方法就獲得過本地電信的兩個Cisco路由器的密碼,并成功進(jìn)行登錄。那是如何安全部署防止類似的Cisco路由攻擊呢?
(1).最小權(quán)限。Cisco路由器可以通過conso(控制臺)和Vty(終端)進(jìn)行登錄,并且其有多個vty。作為管理員要盡可能地少開啟vty,并且根據(jù)需要為其賦予不同的權(quán)限(0-15)。要遵循最小權(quán)限原則,只賦予所需的權(quán)限即可。特別是Vty權(quán)限的設(shè)置一定要注意,因為其可以遠(yuǎn)程登錄。另外,路由器的VTY是有限的,當(dāng)所有的vty用完之后就不能再建立遠(yuǎn)程連接了,因此我們可以通過exec-timeout命令配置vyt超時,避免因此造成的針對路由器的DOS攻擊。(圖6)
(2).口令加強(qiáng)。攻擊者控制路由器首先要獲取控制臺或者終端的登錄密碼,一條復(fù)雜的密碼就能夠較大程度上杜絕來自于社會工程學(xué)的攻擊。除了密碼足夠復(fù)雜外,使用enable secret命令口令進(jìn)行加密,這是一定要做的。從上面的安全測試可以看到就是攻擊者者下載到路由器的配置文件,如果密碼加密他也無可奈何,因為Cisco的密碼是128位加密的幾乎沒有被破解的可能性。另外,可以使用service password-encryption命令對于存儲在路由器配置文件中的所有口令和類似的數(shù)據(jù)進(jìn)行加密,這樣可以避免明文的配置文件被查看。
(3).訪問控制。除了口令加強(qiáng)外,還要做好路由器的訪問控制??梢愿鶕?jù)安全需要建立相應(yīng)的訪問列表,防范諸如偽造、Dos等惡意攻擊。做訪問控制,不僅要對外而且要對內(nèi)的端口進(jìn)行訪問控制,利用我們可以在路由器中建立如下的訪問列表
Router(config-if)#access-list 101 deny icmp any any redirect
Router(config)#access-list 102 deny ip 127.0.0.0 255.255.255.0 any
Router(config)#access-list 103 deny ip 224.0.0.0 31.255.255.255 any
作用是拒絕所有的Icmp重定向,拒絕Loopback的數(shù)據(jù)包,拒絕多目地址的數(shù)據(jù)包。(圖8)
(4).安全管理。對于cisco路由器的管理,除了可以通過conso和vty之外,有些用戶更習(xí)慣通過snmp或者h(yuǎn)ttp來管理,此時一定要加強(qiáng)安全措施。因為snmp目前使用最多的版本1,是明文認(rèn)證其采用缺省的community的public和private,上面安全測試中之所以能夠下載配置文件就是它導(dǎo)致的,因此我們要盡量采用snmp v2。另外,http也是明文傳送的當(dāng)進(jìn)行遠(yuǎn)程口令配置的時候就容易被嗅探,因此我們最好用IP http access-class命令來限定訪問地址。
(5).規(guī)劃網(wǎng)絡(luò)。基于安全性的考慮,局域網(wǎng)中最好不要該Cisco路由器公網(wǎng)地址,將其直接暴露在Internet中。如果迫不得已,一定要在網(wǎng)絡(luò)拓?fù)涫亲龊冒踩渴?,比如利用硬件防火墻或者類似蜜罐技術(shù)來保護(hù)路由器的安全。
總結(jié):路由器特別是Cisco這樣的核心路由器,其安全性緊扣網(wǎng)絡(luò)命門。作為管理員人員,一定要做好安全規(guī)劃和部署,注意安全細(xì)節(jié)。希望本文的安全測試能夠引起大家最路由器安全的重視,文中提供的防范措施能夠助大家進(jìn)一步加固路由器安全。