| 关于 Cisco 路由器安全问题的探讨 |
|
|
|
作者:佚名 文章来源:不详 点击数: 更新时间:2007-2-11 7:37:49  |
关于 Cisco 路由器安全问题的探讨
关于 Cisco 路由器安全问题的探讨 Q:关于 Cisco 路由器安全问题的探讨 A:cisco,也译称思科,是美国Cisco Systems, Inc.思科系统公司的简称。该公司主要生产连接计算机网络的软硬件设备,主要有路由器、交换机、防火墙等硬件以及一些相应的支持软件。cisco产品应用之广可从当今的cisco认证之流行可以略见一斑,其中cisco路由器更占了时常70%的份额,怪不的cisco认证可以毫无顾忌地打出“对于渴望成为顶尖网络技术人才、并希望靠技术亦能出人头地的人来说,取得CCIE-CISCO认证网络互联专家证书可能是最佳选择”的广告。然而尽管是如此强悍的一个网络设备,仍然存在他自己的安全性问题。这让我想起业内一句话:“安全,是一种意识,而不是某种的技术、某种设备就能实现真正的安全”。再强悍的设备,只要在使用过程中有了人的参与,就可能制造出各种安全性的问题。只有了解了这些安全问题,提高自己的安全意识,才能防范各种故障或破坏于未然。接下来我就介绍cisco路由器存在的一些问题,以及一些相应的补救措施。一.针对Cisco路由器的分布式拒绝服务(DDoS)攻击: 攻击原理:在DDOS攻击过程中,一些恶意的主机或者已经受恶意主机感染的主机向被攻击服务器发送大量的数据,由于一般靠近服务器的网络节点(其中包括cisco路由器)通常在设计时只要求处理少量的数据(防止瓶颈的一种做法),当数据从通过边缘节点以服务器为核心聚集的时候,边缘节点将接受到大量的数据,从而导致网络资源枯竭。同时服务器也有可能因此而超载瘫痪。防范措施:通常采用的方法是对路由器接收到的数据包进行过滤。常用而且较简单的防范措施有二。 1)通过访问控制表(access control list)来过滤所有的RFC1918地址空间;下面是一个简单的使用ACL的例子: interface xy ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.00.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 2)使用 “ip verify unicast reverse-path interface“ 命令;对该路由器所接受到的数据包的原地址路由进行检测,如果发现原地址路由不存在该路由器的CEF(Cisco Express Forwarding)中,则丢弃该数据包。具体做法是先打开路由器的“CEF swithing“或“CEF distributed switching“选项,然后使用该命令。二.TFTPD守护进程目录遍历漏洞: cisco免费提供了TFTP服务,而cisco培训的书籍总会介绍使用copy running-config tftp的命令来保存路由配置文件。由于该配置使得TFTPD守护进程存在目录遍历的漏洞,同过该漏洞,只要我们获得了TFTP的权限,就可以从远程系统中获取任意文件。 tftp〉 connect XXX.XXX.XXX.XXX tftp〉 get cisco-conf.bin Recieved 468 bytes in 0.7 seconds tftpd〉 quit 该漏洞目前尚无任何补救措施。三.HTTP帮助服务漏洞: Cisco 安全建议小组在2000年10月30日公布了这个漏洞。IOS 11.0引入通过Web方式管理路由。”?”是HTML规范中定义的CGI参数的分界符。它也被IOS命令行接口解释成请求帮助。在IOS 12.0中,当问号邻接于”/”,URL解释器就不能正确解释其含义。当一个包括”?/”的URL对路由器HTTP服务器进行请求,并且提供一个有效的启用口令,则路由器进入死循环。因而引起路由崩溃并重起。 如果http起用,浏览http://route_ip_addr/anytest?/ 并且提供特权口令,则可以导致DoS攻击,导致路由停机或者重启。 防范措施就是关闭HTTP服务。#no localhost http server。四.1999端口信息泄露漏洞: cisco产品存在IOSLOGON、HISTORY等BUG,这些BUG都是利用1999端口,所以,只要使用一般的端口扫描工具对某段IP进行扫描,观察返回信息,就能轻易发现哪些是cisco产品,因为cisco产品的1999端口返回信息都会包含有“cisco”字样的。 利用该漏洞并不能对直接对系统造成破坏,但是可以配合其他漏洞,使恶意黑客专门对cisco产品进行攻击。五.本地密码破解: 该方法常在密码丢失时,密码恢复的方法,但是也会被某些别有用心的人利用: 准备工作:一台微机运行终端仿真程序(可以在Windows 95/98下启动超级终端),微机串口(COM1/COM2)通过Cisco公司随机配备的配置线与路由器Console口连接。 恢复步骤: (1)开机,按Ctrl+Break键,直到出现提示符。 (2)键入命令: “〉o/r 0x142“。 (3)初始化路由器: “〉i“。 (4)重新启动,屏幕显示系统配置对话: “system configuraiton to get started?“,键入 “no“,系统显示“Press RETURN to get started! “,按“Return“键,系统显示“Router〉“。 (5)键入命令: “Router〉enable“进入超级用户状态(系统不再需要你输入超级口令了);“Router#show startup-config“显示配置参数,特别要注意记住所看到的密码(你也可以通过enable serect “changepassword“命令更改超级用户口令)。 (6)键入命令恢复原来的寄存器: “Router(config)#config-reg 0x2102“ ; “Router(config)#ctrl-z“; “Router(config)#wr“存盘。 (7)重新启动:“Router#reload“。 其实cisco漏洞远不止这些,列举以上几个常见的漏洞只是为了在购买此类产品后的使用过程中多加防范,同时也让大家意识到,真正的安全往往不取决于产品本身,而是在于产品使用过程中的安全意识。再大的漏洞,只要有意识的去避免了,就无所谓不安全了。
|
| 文章录入:bolang 责任编辑:bolang |
|
上一篇文章: Cisco 路由器如何防止 DDoS 攻击
下一篇文章: Cisco 系列路由技术基础知识详解 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
