分享
 
 
 

抵御IOS漏洞攻击保障思科路由安全 -安全维护

王朝数码·作者佚名  2008-12-16
窄屏简体版  字體: |||超大  

在最近的一次安全警报中,Cisco Systems警告说Cisco IOS易于受到一种恶意攻击(请参考Cisco关于危急IOS漏洞的警告)。通过利用这个漏洞,黑客能够在思科设备上执行恶意代码或者发动一次DDOS攻击(拒绝服务攻击)。由于互联网上的路由器至少有70%的路由器是思科路由器,这个漏洞格外引人关注。为了保护你的路由器的基础结构,你能够做些什么呢?本文将讨论这个问题。

哪些产品受到影响?

只有拥有统一通信管理器(Cisco Unified Communications Manager)和支持语音服务的路由器会受到影响。如果你的路由器符合这两个条件之一,你就应该采取行动了。如果你不能确定你的路由器是否拥有语音服务(会话初始化协议(SIP)),就应该检查一下。

哪些特定IOS的版本会受到影响?

只有某些版本的IOS 12.3和所有的IOS 12.4受到这个漏洞的影响,并且只有你激活SIP协议时才会发生。要查看你正在运行的IOS版本,只需要键入show version命令。

我如何知道我是否启用了IOS协议?

注意下面一点是非常重要的:即使SIP协议没有进行特别的配置,Cisco IOS也易受到攻击。这时所需要的只是路由器正在监听SIP通信。

执行如下的三个命令就可以查看你的路由器是否正在监听进入的SIP请求:

以下是引用片段:show ip sockets

show udp

show tcp brief all

注意:“show ip sockets”命令在较新的IOS版本上可能无法运行。"show tcp brief all"命令可能不会返回任何输出。下面就是笔者的路由器的一个输出示例:

以下是引用片段:Router# show ip sockets

^

% Invalid input detected at '^' marker.

Router# show udp

Proto Remote Port Local Port In Out Stat TTY OutputIF

17 --listen-- --any-- 68 0 0 1 0

17 --listen-- --any-- 2887 0 0 11 0

17 0.0.0.0 0 192.168.1.100 67 0 0 2211 0

Router# show tcp brief all

Router#

你正在寻找的是下面这些协议和端口号的任何进入的通路(监听者):TCP 5060, 5061, 1720, 11720 and UDP 5060, 5061, 2427, 2517, 16384 – 32767

你从笔者的路由器的输出结果中可以看出,笔者并没有任何这样的端口。如果你有一个这样的通路(监听者),你的输出结果将看起来会是如下的样子:

以下是引用片段:Router# show ip sockets

Proto Remote Port Local Port In Out Stat TTY OutputIF

17 0.0.0.0 0 --any-- 5060 0 0 211 0

Router# show tcp brief all

TCB Local Address Foreign Address (state)

835F9624 *.5060 *.* LISTEN

请注意这两种情况中的端口号5060。怎样保护路由器免受攻击?

下面我们介绍三种保护路由器免受攻击的方法:

1. 检查是否存在一个对这个漏洞进行修复的IOS软件的升级程序。在笔者写这篇文章时,还没有打补丁的IOS版本可供使用。虽然升级你的路由器可能是一件痛苦的事情,却不失为一个有益的解决方案。不过,如果你的路由器相当脆弱,我建议你不要等着一个新的IOS版本了,因为你的路由器在这期间可能会受到攻击。如果SIP协议不需要的话,你应该立即禁用SIP服务;或者进行通信的缓解,来确保只有合法的数据通信可以从受感染的思科路由器发出或进入。

2. 如果SIP协议(语音服务)在这台设备上不需要的话,你可以通过如下的命令禁用它:

以下是引用片段:Router(config)# sip-ua

Router(config-sip-ua)# no transport udp

Router(config-sip-ua)# no transport tcp

Router(config-sip-ua)# end

这些命令会禁用SIP协议,从而保护你免受这个漏洞的攻击。

3. 最后一点,如果你的路由器需要SIP协议(语音服务),而又没有什么IOS升级可用,你应该只授权那些合法的通信到达你受感染的Cisco IOS设备,从而缓解数据通信。这一点就如同你创建这样一个访问控制列表(ACL) 一样简单:在此ACL中,我们会允许来自已知的SIP设备的全部的SIP通信,而禁止来自所有其它主机的SIP通信。

这儿就有一个例子:例示ACL:禁止未知的SIP

IOS安全复制(secure copy)漏洞

在一个单独的声明中,思科承认某些IOS版本易受到一种安全复制(secure copy)漏洞(SCP)的攻击。为保护你的路由器受到通过这种漏洞的攻击,你应该升级到最新的IOS版本(它解决了SCP漏洞问题),或者使用如下这个命令禁用安全复制服务:

以下是引用片段:Router(config)# no ip scp server enable

小结

一般说来,与互联网直接相连的思科路由器并不处理语音通信,因此内部的处理语音的路由器可能会受到这个漏洞的影响。最要紧的事情是你要决定哪些路由器受到了影响。为了保护自己免受这个漏洞的影响,你可以禁用这些设备中不需要的SIP协议,你也可以通过过滤到达你路由器的通信来减轻通信。

你可以从Cisco Systems找到关于这个IOS漏洞的更多的信息,其中包括易受其影响的特定版本号码。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有