Cisco路由器是當(dāng)前大中型網(wǎng)絡(luò)普遍使用的路由產(chǎn)品,它一般作為核心路由器����,是整個(gè)網(wǎng)絡(luò)的靈魂。如果管理人員設(shè)置不當(dāng)��,安全部署不到位就有可能被攻擊者接管����。真是那樣的話��,那其下的網(wǎng)絡(luò)將全部淪陷���,其危害程度不言而喻����。
1��、一次安全測(cè)試
(1).接管Cisco路由器
筆者最近對(duì)某日本站點(diǎn)(http://www.*.co.jp)進(jìn)行安全檢測(cè)���,探測(cè)得知該Web服務(wù)器只開放了80端口似乎無(wú)法進(jìn)一步滲透����。另外,Ping該網(wǎng)站的域名回顯的IP為210.224.*.69�,TTL為44。依據(jù)該TTL值判斷����,該Web站點(diǎn)應(yīng)該采用類似Unix/Linux的服務(wù)器。結(jié)合站點(diǎn)內(nèi)容�,筆者憑經(jīng)驗(yàn)判斷Web后面的這家企業(yè)的規(guī)模一定不小,其網(wǎng)絡(luò)中的主機(jī)一定比較多��。既然如此����,應(yīng)有比較專業(yè)的網(wǎng)絡(luò)設(shè)備,比如大型的路由器���、交換機(jī)什么的����,說(shuō)不定還是cisco的產(chǎn)品�����。另外���,既然是大公司一定有他們自己的公網(wǎng)IP段��。
基于上面的考慮��,筆者決定利用IP Network Browser工具對(duì)范圍為210.224.*.1~~~210.224.*.254的IP段進(jìn)行掃描��,看是否Cisco路由器或者交換機(jī)什么的網(wǎng)絡(luò)設(shè)備���。需要說(shuō)明的是IP Network Browser是SolarWinds網(wǎng)管軟件集中的一個(gè)工具,通過(guò)它可以掃描出某個(gè)IP段內(nèi)的網(wǎng)絡(luò)設(shè)備��。
運(yùn)行IP Network Browser�,輸入210.224.*.1~~~210.224.*.254網(wǎng)段進(jìn)行掃描,掃描的結(jié)果不出所料�����,IP地址為210.224.*.1的設(shè)備是一個(gè)路由器�,而且是cisco的,通過(guò)查看Community String發(fā)現(xiàn)其權(quán)限是private即個(gè)人權(quán)限��。(圖1)
? 利用SolarWinds工具包中的Config Download可以下載路由器的配置文件��。在工具中輸入該IP地址進(jìn)行下載,很幸運(yùn)下載成功����。然后通過(guò)Config Viewer工具查看剛才下載下來(lái)的路由器配置文件,發(fā)現(xiàn)該路由器的特權(quán)密碼加密了顯示為:enable secret 5 $1$ugRE$xe/UCBrh2uCPYRYfr6nxn1��。這是通過(guò)md5加密的破解的希望渺茫���。繼續(xù)往下查看�����,發(fā)現(xiàn)其console接口和vty也設(shè)置了密碼��,密碼沒(méi)有加密是明文cisco���。利用社會(huì)工程學(xué),說(shuō)不定該路由器的特權(quán)密碼也是cisoc呢!(圖2)
打開命令提示符��,輸入命令telnet 210.224.*.1���,連接路由器�����,成功連接��,輸入vty密碼cisco成功進(jìn)入用戶模式�。在命令提示符下輸入en��,回車后輸入cisco竟然成功進(jìn)入cisco路由器的特權(quán)模式!至此該cisco路由器的被完全控制了���。安全期間�����,在路由器中輸入命令show user�,查看是否有其他人登錄����。結(jié)果顯示沒(méi)有其他的登錄,我們可以進(jìn)行進(jìn)一步的安全測(cè)試��。這里不得不說(shuō)說(shuō)���,管理員的疏忽大意�����,缺乏安全意識(shí)�。雖然特權(quán)密碼采用了加密方式,但是竟然與console和vty密碼一樣��,這樣對(duì)特權(quán)密碼加密有什么用呢?另外��,密碼設(shè)的比較簡(jiǎn)單���,cisco這是很容易猜出來(lái)的��?���?梢娋W(wǎng)絡(luò)安全和木桶原理的類似���,總是從最薄弱的環(huán)節(jié)中被突破�。(圖3)
??? (2).Cisco下的攻擊測(cè)試
既然控制了路由器�����,但是我們還不能確定該路由器就是這家公司的��,以及它與web服務(wù)器的關(guān)系。通過(guò)在路由器上輸入命令show ip interface brif�����,發(fā)現(xiàn)該路由器的幾乎所有的servil(串口)接口都處于激活狀態(tài)����,而快速以太網(wǎng)接口只有fastEthernet 0/1處于激活狀態(tài),并且該接口的IP地址為210.224.*.1��,子網(wǎng)掩碼為255.255.255.0���。因此基本可以斷定,該路由器就是這家公司的�����,該公司的WEb服務(wù)器連接到了路由器的fastEthernet 0/1上�����。同時(shí)�,也可以大概地推測(cè)出該公司的網(wǎng)絡(luò)拓?fù)洹?yīng)該是Internet后面有個(gè)硬件防火墻�,在防火墻的后面連接了cisco路由器,而WEB服務(wù)器就連接在路由器上,通過(guò)路由器與外網(wǎng)相連�����。
既然控制了該公司與外網(wǎng)連接的唯一設(shè)備路由器����,別說(shuō)一個(gè)web服務(wù)器,該公司的所有的internet都被控制了����。筆者就以web服務(wù)器為例進(jìn)行了安全測(cè)試,在cisco路由器安全模式下輸入如下命令:
cisco#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
cisco(config)#int
cisco(config)#interface fastEthernet 0/1
cisco(config-if)#access-list 101 deny ip host 210.224.*.69 any
cisco(config)#access-list 101 permit ip any any
上面的cisco命令是創(chuàng)建訪問(wèn)控制列表�,阻止通過(guò)路由器的fastEthernet 0/1對(duì)IP地址為210.224.*.69(web服務(wù)器)的訪問(wèn)。(圖4)
命令完成后在瀏覽器中輸入http://www.*.co.jp訪問(wèn)�����,不出所料網(wǎng)頁(yè)不能打開���。(圖5)
? 由于是安全測(cè)試�,恢復(fù)網(wǎng)站的訪問(wèn)���,在cisco路由器上輸入命令
cisco(config)#int fastEthernet 0/1
cisco(config)#no access-list 101 deny ip host 210.224.*.69 any
2����、防范措施
其實(shí)上面的測(cè)試并非偶然,筆者利用類似的方法就獲得過(guò)本地電信的兩個(gè)Cisco路由器的密碼�,并成功進(jìn)行登錄。那是如何安全部署防止類似的Cisco路由攻擊呢?
(1).最小權(quán)限��。Cisco路由器可以通過(guò)conso(控制臺(tái))和Vty(終端)進(jìn)行登錄��,并且其有多個(gè)vty�����。作為管理員要盡可能地少開啟vty�����,并且根據(jù)需要為其賦予不同的權(quán)限(0-15)�����。要遵循最小權(quán)限原則����,只賦予所需的權(quán)限即可�����。特別是Vty權(quán)限的設(shè)置一定要注意,因?yàn)槠淇梢赃h(yuǎn)程登錄����。另外,路由器的VTY是有限的�,當(dāng)所有的vty用完之后就不能再建立遠(yuǎn)程連接了,因此我們可以通過(guò)exec-timeout命令配置vyt超時(shí)����,避免因此造成的針對(duì)路由器的DOS攻擊。(圖6)
? (2).口令加強(qiáng)�。攻擊者控制路由器首先要獲取控制臺(tái)或者終端的登錄密碼,一條復(fù)雜的密碼就能夠較大程度上杜絕來(lái)自于社會(huì)工程學(xué)的攻擊��。除了密碼足夠復(fù)雜外��,使用enable secret命令口令進(jìn)行加密�,這是一定要做的。從上面的安全測(cè)試可以看到就是攻擊者者下載到路由器的配置文件�,如果密碼加密他也無(wú)可奈何,因?yàn)镃isco的密碼是128位加密的幾乎沒(méi)有被破解的可能性�����。另外,可以使用service password-encryption命令對(duì)于存儲(chǔ)在路由器配置文件中的所有口令和類似的數(shù)據(jù)進(jìn)行加密�,這樣可以避免明文的配置文件被查看。(圖7)
(3).訪問(wèn)控制���。除了口令加強(qiáng)外����,還要做好路由器的訪問(wèn)控制�。可以根據(jù)安全需要建立相應(yīng)的訪問(wèn)列表��,防范諸如偽造�、Dos等惡意攻擊。做訪問(wèn)控制�����,不僅要對(duì)外而且要對(duì)內(nèi)的端口進(jìn)行訪問(wèn)控制���,利用我們可以在路由器中建立如下的訪問(wèn)列表
Router(config-if)#access-list 101 deny icmp any any redirect
Router(config)#access-list 102 deny ip 127.0.0.0 255.255.255.0 any
Router(config)#access-list 103 deny ip 224.0.0.0 31.255.255.255 any
作用是拒絕所有的Icmp重定向,拒絕Loopback的數(shù)據(jù)包����,拒絕多目地址的數(shù)據(jù)包�����。(圖8)
? (4).安全管理�����。對(duì)于cisco路由器的管理�,除了可以通過(guò)conso和vty之外�,有些用戶更習(xí)慣通過(guò)snmp或者h(yuǎn)ttp來(lái)管理,此時(shí)一定要加強(qiáng)安全措施�。因?yàn)閟nmp目前使用最多的版本1,是明文認(rèn)證其采用缺省的community的public和private�����,上面安全測(cè)試中之所以能夠下載配置文件就是它導(dǎo)致的���,因此我們要盡量采用snmp v2��。另外��,http也是明文傳送的當(dāng)進(jìn)行遠(yuǎn)程口令配置的時(shí)候就容易被嗅探����,因此我們最好用IP http access-class命令來(lái)限定訪問(wèn)地址。(圖9)
? (5).規(guī)劃網(wǎng)絡(luò)�����?�;诎踩缘目紤]���,局域網(wǎng)中最好不要該Cisco路由器公網(wǎng)地址��,將其直接暴露在Internet中���。如果迫不得已,一定要在網(wǎng)絡(luò)拓?fù)涫亲龊冒踩渴?,比如利用硬件防火墻或者類似蜜罐技術(shù)來(lái)保護(hù)路由器的安全。
總結(jié):路由器特別是Cisco這樣的核心路由器����,其安全性緊扣網(wǎng)絡(luò)命門。作為管理員人員���,一定要做好安全規(guī)劃和部署,注意安全細(xì)節(jié)���。希望本文的安全測(cè)試能夠引起大家最路由器安全的重視�����,文中提供的防范措施能夠助大家進(jìn)一步加固路由器安全��。
關(guān)鍵詞標(biāo)簽:思科路由器,黑客
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程