日前Cisco针对部分交换器的特定IOS(Internetwork Operating System)版本提出漏洞通知,也就是Cisco发现,特定版本的IOS,当用户启动FTP或者是Telnet动作时,只要同时搭配认证动作,有可能发生远端资料缓冲区溢出的异常状况,因此建议用户可以透过更新IOS软体版本来解决,或者是关闭FTP与Telnet时会同步启动认证的设定,一样也可以避免该网路漏洞的发生。不过,如果用户是透过HTTP或HTTPS来启动认证动作的话,便不会发生问题。
其实IOS发生网路安全漏洞,早就不是意料之外的问题,因为Cisco的IOS功能相当多,而且都跟网路相关连结方式作整合,要不发生问题,老实说难度相当高。由于IOS主要是以L2/L3 Switch为主要应用市场,而这些架构大多是以公司内部基础网路为主,所以除非公司内部有特定人士故意针对既有网路设备作攻击,不然企业会因为IOS漏洞发生基础网路架构当机的机会不大。
即便防火墙已经成为企业网路基本设备,透过防火墙能够有效将公众网路与内部网路作分隔,然而网路攻击越来越多样化,甚至有病毒或者是间谍软体,可以透过浏览器的漏洞让公司内部电脑中毒,甚至在公司内部发起攻击动作。因此不少IDP与IPS厂商,纷纷提出让IDP与IPS防卫企业内部的使用IOS网路设备安全,除了能够有效防范IOS漏洞可能产生的问题之外,也能够为企业安全增加防御应付能力。
然而这次的IOS网路漏洞,却并不会在新版的IOS XR架构当中出现问题。据了解XR版本的IOS,已经试着针对可能发生的网路漏洞在事先预防的动作,除了有效确保XR的功能性之外,也可以增加网路运作的安全性,所以就有业务人员表示,当Cisco宣布要推出IOS XR版本的产品的讯息之后,由于XR能够有效改善既有IOS的安全问题,所以不少客户早在正式产品推出之前,提前购入,就是希望利用XR版本增进企业基础的网路安全。
