欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

路由器、交換機及防火墻漏洞的發(fā)現(xiàn)與防范方法

  發(fā)布時間:2013-12-11 16:42:17   作者:佚名   我要評論
在本文中,我們將探討為什么這些設(shè)備容易受到攻擊,現(xiàn)在有多少惡意網(wǎng)絡(luò)攻擊是瞄準路由器、交換機和防火墻的以及企業(yè)應(yīng)該采取什么措施來保護其網(wǎng)絡(luò)

遠程連接到網(wǎng)絡(luò)資源已經(jīng)成為現(xiàn)代企業(yè)很多員工的工作需要。無論這種連接是通過VPN、遠程桌面還是安全殼(SSH)進行的,這種連接將不可避免地穿過裝載著路由器、交換機和防火墻的網(wǎng)絡(luò),而這些設(shè)備中有很多都很容易受到攻擊。

安全行業(yè)的企業(yè)和管理人員都意識到了這個問題,攻擊者也意識到這些設(shè)備中存在漏洞,任何具有基本網(wǎng)絡(luò)知識的懷有惡意的人員都可以成功地攻擊路由器、交換機和防火墻來竊取企業(yè)信息甚至中斷通信。

在本文中,我們將探討為什么這些設(shè)備容易受到攻擊,現(xiàn)在有多少惡意網(wǎng)絡(luò)攻擊是瞄準路由器、交換機和防火墻的以及企業(yè)應(yīng)該采取什么措施來保護其網(wǎng)絡(luò)。

攻擊思科路由器或交換機

從其核心來看,路由和交換的過程無非是在網(wǎng)絡(luò)中移動數(shù)據(jù)包。鑒于這個過程的基本性,路由器和交換機通常被認為是簡單的傳遞設(shè)備。然而,需要注意的是,一旦某人獲得對路由器或交換機的任何類型的管理訪問權(quán)限,他們將有可能造成嚴重的破壞。

首先,讓我們看看路由器或交換機可能被攻擊的方式之一。在路由和交換市場占據(jù)最多市場份額的是思科公司。雖然惠普和Brocade在2層網(wǎng)絡(luò)交換機市場已經(jīng)取得了令人矚目的進步,但思科仍被網(wǎng)絡(luò)行業(yè)內(nèi)的很多人視為黃金標準。然而,也正因為思科產(chǎn)品被廣泛部署,它們不可幸免地成為攻擊者最喜歡的目標。

例如,在Backtrack 5 Linux發(fā)行版中,有專門用于思科設(shè)備的一整套工具集,這個發(fā)行版還配備了很多安全功能和軟件來幫助安全管理員進行滲透測試以及檢查各種系統(tǒng)中的漏洞。雖然這些工具主要用于審計,但這些工具也經(jīng)常被攻擊者用來發(fā)現(xiàn)基本的漏洞,例如密碼漏洞—這可以通過John the Ripper來發(fā)現(xiàn)。

幸運的是,現(xiàn)在企業(yè)安全專家已經(jīng)可以開始使用BackTrack 5(第3版本)。如果你還沒有安裝Backtrack,那么請盡快安裝。然后,開始檢查有漏洞的網(wǎng)絡(luò)設(shè)備(當然,在你得到企業(yè)允許后),定位到以下目錄:

/pentest/cisco/cisco-global-exploiter

運行名為cge.pl的Perl文件,這個文件沒有任何選項。根據(jù)運行的版本的不同,屏幕上最多會出現(xiàn)14個不同的選項,每個選項都會引用一個試圖利用不同漏洞的腳本。這能夠幫助企業(yè)更有效地測試路由器面向外部的接口,企業(yè)應(yīng)該經(jīng)常進行測試。假設(shè)測試的路由器有一個外部IP地址200.1.1.1,輸入以下命令:

./cge.pl 200.1.1.1 2

這將運行針對外部接口(利用選項二)的漏洞利用,思科IOS路由器拒絕服務(wù)漏洞。如果該路由器存在漏洞,在標準輸出中將會顯示一個消息:漏洞成功被利用。目標服務(wù)器已經(jīng)宕機……

現(xiàn)在,思科漏洞利用非常多,這些漏洞整齊地打包在一個平臺內(nèi),如果落入壞人手中,會帶來嚴重后果。上面的例子僅僅是很多現(xiàn)有漏洞利用之一。因此,如果這項工作還不是你最優(yōu)先的工作,請運行這個操作,并認真記下結(jié)果;在不久的將來,你將需要它們用來修復(fù)。

BGP重定向的風(fēng)險

利用聯(lián)網(wǎng)設(shè)備的另一個潛在危險就是數(shù)據(jù)丟失。雖然有幾種不同的攻擊方式,被稱為邊界網(wǎng)關(guān)協(xié)議(BGP)重定向的攻擊方法已經(jīng)越來越令人頭痛。

首先,BGP被認為是互聯(lián)網(wǎng)的核心協(xié)議。BGP用于網(wǎng)關(guān)主機,它交換路由信息和獨特的標識符—自治系統(tǒng)號碼(ASN),這個號碼由互聯(lián)網(wǎng)編號分配機構(gòu)(IANA)或者區(qū)域互聯(lián)網(wǎng)注冊管理機構(gòu)(RIRs)分配。當數(shù)據(jù)包穿過ISP的網(wǎng)關(guān)時,網(wǎng)關(guān)可以通過檢查數(shù)據(jù)包表頭中的ASN來識別單個數(shù)據(jù)包來自哪個ISP。

很多時候,攻擊者會發(fā)布他們知道的屬于另一個自治系統(tǒng)內(nèi)企業(yè)的路由或者ASN。例如,如果一家銀行屬于AS1,而攻擊者在AS2內(nèi)操作BGP路由器,他只需要偽裝其路由器作為AS1,很多傳輸?shù)紸S1的流量將會被重定向到AS2。這是一個相當簡單的例子,但這個漏洞利用非常容易執(zhí)行。

超越防火墻

在前文中,我們提到了網(wǎng)絡(luò)攻擊者獲得路由器或交換機的管理訪問權(quán)限的災(zāi)難性后果。而如果攻擊者獲得防火墻管理權(quán)限,后果將更加嚴重。對于任何企業(yè)網(wǎng)絡(luò)而言,防火墻都是主要的防御機制,如果攻擊者獲取了關(guān)閉防火墻的權(quán)限或者甚至能夠操縱它允許某些流量,結(jié)果可能是毀滅性的。

例如,假設(shè)子網(wǎng)200.1.1.1/24被視為惡意,安全管理員盡職盡責(zé)地配置了訪問控制列表( ACL)來阻止所有入站和出站流量到該子網(wǎng)。如果攻擊者成功獲得防火墻管理訪問權(quán)限,他們就可以對授權(quán)的網(wǎng)絡(luò)流量“肆意妄為”,當然還可以制造各種惡意流量和系統(tǒng)請求。

人為因素

各種防火墻供應(yīng)商會不定期地發(fā)布已知漏洞,而這些漏洞可能有或者沒有修復(fù)補丁。例如,思科Security Advisories、Response和Notices網(wǎng)站提供了一個方便的數(shù)據(jù)庫,讓最終用戶了解所有思科產(chǎn)品(包括防火墻)的最新安全問題。筆者發(fā)現(xiàn)思科通常會充分地披露已知漏洞,也會發(fā)布修復(fù)補丁。這在很大程度上是因為思科投資了大量資金來研究其產(chǎn)品的安全性。

總之,如果企業(yè)部署了思科基礎(chǔ)設(shè)施,實在是沒有理由不保持更新最新漏洞知識。很多企業(yè)沒有專門的人員來監(jiān)控最新發(fā)布的補丁或者漏洞,這在很大程度上是因為他們依賴于思科和其他供應(yīng)商來即時讓他們了解安全問題。不用說,這種做法存在嚴重問題,但這仍不失為系統(tǒng)管理員可選擇的一種方法。因此,負責(zé)管理企業(yè)防火墻基礎(chǔ)設(shè)施的人員必須盡一切努力來了解最新修復(fù)補丁、漏洞監(jiān)控和其他可能產(chǎn)生的問題。

防止路由器、交換機和防火墻被攻擊

那么,我們應(yīng)該如何防止企業(yè)網(wǎng)絡(luò)通過路由器、交換機或防火墻受到攻擊呢?在前面的第一個例子中,定期的審計是個不錯的方法。從Backtrack開始,利用該平臺內(nèi)豐富的工具。請確保在必要時進行更新,并確保出廠默認密碼完全清除。大家都知道思科的默認用戶名和默認密碼都是cisco。

對于BGP漏洞:最有效的做法是在ISP級別解決問題。很多研究涉及利用自治系統(tǒng)之間的公鑰基礎(chǔ)設(shè)施(PKI),也是在ISP層面。而在網(wǎng)絡(luò)層面,最好的做法當然是監(jiān)視入站數(shù)據(jù)包的路由,并搜索其中的任何異常情況。例如,是否有數(shù)據(jù)包似乎是來自于你的ISP沒有從其接收路由的自治系統(tǒng)?這可能需要系統(tǒng)管理員和ISP人員一致的對話。

另外,筆者很喜歡將企業(yè)路由器放在配置良好的防火墻后面的做法,但隨后應(yīng)該通過緊密執(zhí)行的ACL來配置路由器,這樣一來,負擔(dān)就不完全在防火墻上。

在避免防火墻遭受攻擊的最佳做法方面,企業(yè)應(yīng)著重考慮在默認情況下阻止所有入站和出站流量,并鼓勵最終用戶解釋為什么某些流量應(yīng)通過防火墻。此外,嚴格控制誰擁有防火墻的帶外管理訪問權(quán)限,以及每個管理員允許從哪里訪問管理功能。換句話說,某些人可能被授予防火墻訪問管理權(quán)限,但從操作安全性來看,他們只能從LAN內(nèi)訪問管理資源,而不是從其居住地或者國外訪問它們。最后,對你現(xiàn)有的防火墻基礎(chǔ)設(shè)施進行監(jiān)控、研究和保持最新更新、補丁和安全漏洞。

牢記上述建議,安全管理員必須謹慎配置路由器和交換機,不僅需要確保嚴格的控制,還需要保證其性能不會受到影響。如果不這樣做,可能意味著你從幸存者淪為受害者。

相關(guān)文章

  • TPLink路由器隱藏wifi用戶名的方法

    設(shè)置路由器隱藏WIFI,防蹭網(wǎng),偷網(wǎng)。本文介紹的比較詳細包括老款tp link路由器和新款tp link路由器隱藏wifi信號的方法。對TPLink路由器隱藏wifi用戶名的方法感興趣的朋友參
    2016-10-31
  • tplink無線路由器怎么設(shè)置DNS服務(wù)器地址?

    tplink無線路由器怎么設(shè)置DNS?在設(shè)置路由器的時候,很多用戶不知道該怎么手動設(shè)置路由器的DNS服務(wù)器地址,下面我們就來看看詳細的設(shè)置教程,需要的朋友可以參考下
    2016-09-25
  • TP-Link云路由器怎么升級系統(tǒng) 升級系統(tǒng)固件圖文教程

    路由器可以通過升級系統(tǒng)固件修正可能存在年錯誤,或者獲取更多更新功能,TP-Link云路由器也不例外,也是可以通過系統(tǒng)升級獲取更多更新系統(tǒng)功能和性能提升,那么TP-Link云路由
    2016-04-26
  • 小米路由器怎么和TP-Link路由器做wifi無線橋接?

    小米路由器怎么和TP-Link路由器做wifi無線橋接?橋接以后我們的wifi覆蓋面積會擴大,方便我們使用,今天我們就來看看小米路由器和TP-Link wr842n路由器的橋接過程,需要的
    2016-02-13
  • 無線路由器的防火墻過濾功能該怎么設(shè)置

    無線路由器的防火墻過濾主要有IP地址過濾、MAC地址過濾、端口過濾、域名過濾和網(wǎng)址過濾等,下面簡要為大家介紹下防火墻過濾該怎么設(shè)置,需要的朋友不要錯過
    2013-11-14
  • 網(wǎng)管天下-交換機·路由器·防火墻(第2版) PDF 掃描版[71M]

    適用于中小型網(wǎng)絡(luò)管理員、以及所有準備從事網(wǎng)絡(luò)管理的網(wǎng)絡(luò)愛好者,并可作為大專院校計算機專業(yè)的教材
    2013-06-03
  • 磊科路由器防火墻設(shè)置的問題分析

    相信每一個使用路由器的人都知道防火墻,現(xiàn)在幾乎每一個路由器中都內(nèi)置了防火墻,用來保護內(nèi)網(wǎng)電腦的安全,本篇以磊科路由器為大家介紹關(guān)于路由器防火墻這部分的知識,相信
    2012-11-12
  • 巧用阿爾法路由器防火墻防攻擊的辦法

    相信只要上網(wǎng)的人都知道,現(xiàn)在網(wǎng)絡(luò)上各種病毒橫行,層出不窮的攻擊手段使得網(wǎng)絡(luò)防不勝防,其實我們常用的路由器基本都是帶有防火墻功能的,只是一般情況下我們用不到,也就
    2012-10-29
  • 什么樣的路由器是最好的?

      現(xiàn)在網(wǎng)上經(jīng)常會有人說什么路由器是最好的,功能有多少多少,對此我想發(fā)表我的看法,同意的52硬件網(wǎng)友給我回帖助威,不同意的千萬別扔我雞蛋,那樣太浪費,呵呵!  路
    2010-09-07
  • 組網(wǎng)答疑:路由器能替代防火墻嗎?

    防火墻已經(jīng)成為企業(yè)網(wǎng)絡(luò)建設(shè)中的一個關(guān)鍵組成部分。但有很多用戶,認為網(wǎng)絡(luò)中已經(jīng)有了路由器,可以實現(xiàn)一些簡單的包過濾功能,所以,為什么還要用防火墻呢?以下我們針對防
    2010-09-07

最新評論